Chat Control: Europa reactiva la ley que permite escanear mensajes privados y desata la polémica
Además: Nueva vulnerabilidad en Linux, Accenture reconoce un breach, Meta usa historias de Instagram para contenido IA y demanda contra Sony luego de anunciar el fin de los discos de PlayStation.
Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
3~10
jul
⚡TL;DR
Vuelta a la rutina de resumen semanal de noticias de ciberseguridad, privacidad y tecnología política. El plato fuerte de esta semana tiene que ver con una medida europea que podría sentar un precedente global: el régimen del “Chat Control”, una excepción legal para acceder a comunicaciones privadas en busca de material de abuso sexual infantil.
Europa viene discutiendo esto hace tiempo. En Reino Unido, Signal lleva una batalla con el Gobierno, que viene insistiendo con escanear mensajes privados por el mismo motivo. Es una clásica pelea de privacidad vs. seguridad.
Junto con la polémica medida de Meta de permitir usar fotos públicas de Instagram para generar imágenes con IA (Muse Image), fueron los dos tópicos en el mundo de las regulaciones y Big Tech que más conversación generaron.
En el mundo de los leaks, un tema que generó ruido en redes, pero del que aún se sabe poco, fue una publicación de un grupo de ransomware que incluyó a Mercado Libre como presunta víctima. The Gentlemen, grupo que algunos reportes de inteligencia vinculan con una escisión de Qilin, agregó a Mercado Libre a su lista de compañías atacadas. Por lo pronto, dan cerca de una semana para publicar los datos. Contacté a Mercado Libre y, por el momento, la empresa no confirma ni desmiente nada.
En el DLS del grupo (sitio onion donde publican a sus víctimas) parece verse algo relacionado con Zoom (podría pertenecer a un proveedor de Mercado Libre y no a la empresa en sí misma). Es probable que la semana que viene haga follow up del tema. Pero en esta entrega no tengo mucho más para desarrollar.
Mercado Libre cotiza en Wall Street (MELI), con lo cual, de haber sufrido un incidente, está obligada a reportarlo mediante un formulario 8-K.
La empresa que sí tuvo un data breach y lo dio a conocer fue Accenture: se filtraron 35 GB de código fuente.
En el terreno más técnico, tenemos otra vulnerabilidad en máquinas virtuales de Linux: Januscape. Y una investigación mostró cómo se puede comprometer un entorno cloud de AWS en apenas 72 horas.
El fin de semana publiqué una entrega con declaraciones del director de la CIA, John Ratcliffe, quien comparó a las capacidades de la IA con el escenario nuclear de la Guerra Fría. Siguen apareciendo puntos que se unen: esta semana, una alta funcionaria británica habló de riesgos de la IA análogos a la bomba de Hiroshima:
No existen principios equivalentes acordados entre las potencias globales en materia de inteligencia artificial. En el caso nuclear, el acuerdo internacional llegó recién después de que el mundo viera el poder aterrador de esa nueva tecnología en Hiroshima y se preguntara qué pasaría si caía en las manos equivocadas. No podemos darnos el lujo de esperar un equivalente de Hiroshima para la IA antes de actuar.
No es un newsletter de gaming este, pero hubo dos noticias muy pesadas en ese terreno. Por un lado, Microsoft recortó 4.800 puestos de trabajo y un tercio corresponden a Xbox. Por el otro, Sony podría enfrentar una demanda colectiva por tomar la decisión de no producir más discos físicos para PlayStation desde 2028.
La preservación digital es un tema que me interesa bastante, motivo por el cual consulté a una fuente para expandir el tema.
Para no perder la costumbre, hubo varios robos cripto: una memecoin de Solana (Bonk) por 20 millones de dólares, una wallet expuesta (Ctrl Wallet) y otra por 3,1 millones. Un research apunta a que el blanco central de los hackeos son las plataformas DeFi.
La perlita de la semana es Linus Torvalds contando cómo la IA cambió la forma en la que los maintainers del kernel de Linux tienen que responder a la enorme cantidad de bugs que fueron apareciendo.
Y esta entrada de un researcher que se pregunta si el bug bounty está muerto.
Spoiler: no.
En esta edición:
📲 Chat Control: Europa reactiva la ley que permite escanear mensajes privados y desata la polémica
🐧 Januscape, nueva vulnerabilidad en virtualización en Linux
🤖 Meta: Muse Image permite usar fotos públicas de Instagram para generar imágenes con IA
💾 Accenture reconoce un data breach de 35 GB de código fuente
💿 PlayStation dejará de vender juegos físicos y enfrenta una demanda millonaria
🏦 DeFi ya concentra dos de cada tres hackeos en blockchain
⏰ Substack dice que leer este correo completo lleva 13 minutos
Dark News #210
Chat Control: Europa reactiva la ley que permite escanear mensajes privados y desata la polémica
La Unión Europea volvió a habilitar el régimen conocido por sus críticos como “Chat Control”: una excepción legal que permite a plataformas tecnológicas escanear comunicaciones privadas para detectar material de abuso sexual infantil, aun cuando más eurodiputados votaron para bloquearlo que para dejarlo avanzar.
Qué pasó. El Parlamento Europeo trató el expediente por un procedimiento urgente, en la última sesión plenaria antes del receso del verano europeo. Para frenar o modificar el texto hacía falta una mayoría absoluta de todos los eurodiputados, no una mayoría simple de los presentes.
Votación. Hubo 314 votos para rechazar la medida, 276 en contra de rechazarla y 17 abstenciones. Pero como el rechazo no alcanzó el umbral requerido, el régimen quedó reactivado.
Por qué importa. La norma permite que empresas como Meta, Google o Microsoft mantengan sistemas voluntarios de detección de material de abuso sexual infantil en mensajes, mails y servicios sociales. El argumento de los defensores es que sin esa base legal se debilita la capacidad de detectar casos y asistir a víctimas.
Críticas. Para organizaciones de derechos digitales, el mecanismo normaliza el escaneo masivo de comunicaciones privadas y vuelve más difusa la frontera entre protección infantil y vigilancia. No es una orden para romper el cifrado de extremo a extremo de WhatsApp o Signal (como viene queriendo hacer Gran Bretaña, por ejemplo), pero sí reabre la discusión sobre cuánto control deben tener las plataformas (y los Estados) sobre conversaciones privadas.
El contexto. Chat Control 1.0 era un régimen temporal, creado como excepción a las reglas europeas de privacidad electrónica. Había vencido en abril, después de que el Parlamento rechazara extenderlo en marzo.
Ahora vuelve hasta 2028, mientras sigue trabada la pelea más grande: Chat Control 2.0, la regulación permanente que podría definir el futuro del escaneo de mensajes en Europa.
Januscape: una falla de 16 años en KVM permite escapar de máquinas virtuales Linux
Una vulnerabilidad en KVM, el hipervisor integrado al kernel de Linux, permite que un atacante salga de una máquina virtual y ejecute código con privilegios de root en el host físico que la corre.
El bug, bautizado Januscape e identificado con el CVE-2026-53359, afecta a sistemas x86 con Intel y AMD y apunta a uno de los supuestos más sensibles de la nube: que una VM alquilada por un cliente no pueda tocar el servidor compartido con otros. Fue descubierto por el investigador Hyunwoo Kim.
Por qué importa. Januscape es una vulnerabilidad “guest-to-host”: arranca dentro de la VM invitada y rompe el aislamiento hacia el host.
Ese es el escenario que más preocupa en entornos cloud multi-tenant, donde distintas máquinas virtuales de distintos clientes pueden compartir el mismo hardware físico.
Condiciones de ataque. Para que el ataque funcione, el atacante necesita control total dentro de la VM y que el proveedor tenga habilitada virtualización anidada, algo que no siempre ocurre, pero que en entornos cloud vuelve al bug muy sensible.
Parcheado. El bug ya fue corregido en el kernel de Linux, pero el detalle es que estuvo latente durante unos 16 años, desde una modificación introducida en 2010 hasta el parche de junio de 2026.
Meta: Muse Image permite usar fotos públicas de Instagram para generar imágenes con IA
Meta presentó Muse Image, su nuevo generador de imágenes con inteligencia artificial, disponible gratis en la app de Meta AI, Instagram Stories y WhatsApp.
La herramienta compite con ChatGPT, Gemini y otros modelos de generación de imágenes, pero una de sus funciones ya generó críticas por privacidad: permite tomar fotos de perfiles públicos de Instagram y transformarlas con IA.
Cómo funciona. Para hacerlo, alcanza con etiquetar a otro usuario durante la creación de una imagen. Si el perfil es público y no desactivó la función en la configuración, Muse puede utilizar sus fotos para generar nuevas imágenes.
Lo más controvertido es que la persona cuya imagen fue usada no recibe ninguna notificación.
Postura oficial. Meta sostiene que los usuarios tienen control sobre esta función porque pueden deshabilitarla desde la configuración de privacidad. Sin embargo, especialistas y usuarios cuestionan que el sistema funcione bajo un esquema de opt-out: la opción viene habilitada por defecto y es el usuario quien debe buscar cómo desactivarla.
Por qué importa. La función reabre el debate sobre hasta qué punto las plataformas pueden reutilizar contenido público para funciones de IA sin pedir un consentimiento explícito.
Aunque técnicamente las imágenes ya son públicas, transformarlas mediante IA para crear contenido nuevo introduce un uso distinto del que muchos usuarios esperaban al subir sus fotos.
Hay una manera de configurar Instagram para que deje de hacer esto.
Accenture reconoce un data breach de 35 GB de código fuente
Accenture confirmó que sufrió un data breach después de que un actor conocido como “888” afirmara haber robado 35 GB de datos de la compañía y los ofreciera a la venta en un foro criminal.
“Estamos al tanto de este asunto aislado y ya remediamos su origen. No hay impacto en las operaciones ni en la prestación de servicios de Accenture”, afirmó la empresa a BleepingComputer. El medio aclaró que no pudo verificar de forma independiente el alcance total del robo.
Por qué importa. Lo relevante no es tanto el tamaño del supuesto robo, sino el tipo de información que el atacante dice haber obtenido: código fuente, claves RSA y SSH, tokens personales de acceso de Azure, claves de Azure Storage y archivos de configuración.
Ese combo, si fuera real, puede servir para moverse dentro de entornos cloud, clonar repositorios, buscar secretos reutilizables o preparar ataques contra terceros.
El contexto. Accenture confirmó la intrusión, pero no dijo a cuánta información accedieron los atacantes, ni si hubo datos de clientes afectados. Tampoco explicó cómo entraron los atacantes.
La compañía ya tenía antecedentes: en 2021, LockBit dijo haber robado datos de sus sistemas. Y en 2024, el mismo actor “888” intentó vender datos de empleados de Accenture tras una brecha en un tercero.
PlayStation dejará de vender juegos físicos y enfrenta una demanda millonaria
Sony confirmó la semana pasada que dejará de producir juegos en discos físicos para los nuevos juegos de PlayStation a partir de enero de 2028.
La decisión reavivó una pelea legal en Europa: una organización de consumidores de Países Bajos reclama más de 400 millones de euros por lo que llama el “Sony Tax”, el sobreprecio que, según la demanda, pagan los usuarios por no tener alternativas reales a la PlayStation Store.
Qué pasó. La empresa anunció que los nuevos juegos para sus consolas se venderán sólo en formato digital desde enero de 2028. Los títulos físicos publicados antes de esa fecha no se verían afectados, pero el cambio marca un giro fuerte para el ecosistema PlayStation.
Por qué importa. La demanda Fair PlayStation, impulsada por la organización neerlandesa Stichting Massaschade & Consument, sostiene que Sony cobra precios artificialmente altos en su tienda digital porque controla el único canal posible de compra dentro de PlayStation. Explicó a Dark News Ignacio Esains, periodista especializado:
La decisión de Sony es muy simple: alrededor del 80% de los juegos que vende son digitales. Ahí su margen es del 100% en títulos propios y del 30% en los de terceros (similar a Steam o la App Store). Los juegos físicos, en cambio, tienen costos de manufactura y distribución, y el retail se queda con un margen del 20-30%. Para colmo, los juegos físicos generan un mercado paralelo de usados y competencia de precios por parte de sus propios clientes, como Amazon o Walmart. Aunque Sony pierda la mitad de ese 20% del público que compra físico, sale ganando.
El segundo punto criticado tiene que ver con la preservación digital. Señaló el co-conductor de Modo Rant:
Pero más allá de las (precisas) objeciones comerciales de la asociación neerlandesa, hay otro factor preocupante: la preservación de estos juegos como parte de la historia de un medio artístico. Con los años, el mundo artístico y académico dejó de ver a los videojuegos como un fenómeno puramente comercial, y hoy existen organizaciones como la Video Game History Foundation dedicadas a preservarlos como artefactos de su tiempo. Su fundador, Frank Cifaldi, calificó la decisión de “desafortunada”, aunque admitió que hace tiempo se preparan para algo así, ya que los juegos que hoy vienen en disco reciben parches desde el día uno y varios ni siquiera son ejecutables.
Industria. El caso excede a PlayStation, ya que es parte de una discusión más grande sobre propiedad digital: cuánto controla una plataforma cuando el usuario ya no puede revender, prestar, conservar o comprar por fuera de su ecosistema.
DeFi ya concentra dos de cada tres hackeos en blockchain
Un reporte de SlowMist señala que la mayoría de los hackeos cripto apuntan a plataformas DeFi: la infraestructura financiera programable sobre la que se apoyan préstamos, swaps, staking, puentes entre blockchains y otros servicios sin intermediarios.
Los datos. Según el informe, en la primera mitad de 2026 hubo 182 incidentes de seguridad en el ecosistema blockchain, con pérdidas por unos US$956 millones. De ese total, 116 afectaron a proyectos DeFi: casi dos tercios de todos los casos. Las pérdidas en ese segmento llegaron a unos US$490 millones.
Por qué importa. DeFi concentra riesgo porque convierte funciones financieras complejas en código automatizado. Si un contrato inteligente tiene una falla lógica, si una clave privada queda comprometida, si un permiso está mal configurado o si una dependencia de software fue envenenada, el resultado puede ser un robo millonario como los que se ven semana a semana.
El contexto. El problema no es sólo la cantidad de ataques, sino dónde se concentran las pérdidas. SlowMist advierte una tendencia de “incidentes dispersos, pérdidas concentradas”.
El caso más fuerte del semestre fue Kelp DAO, vinculado a una configuración vulnerable en un puente de LayerZero, con pérdidas estimadas en US$292 millones. Cuando falla una pieza que conecta redes, liquidez y confianza, el impacto no queda limitado a una app.
🔓 Breaches y hacks
ShinyHunters, responsable de la filtración de otra entidad de salud
El Departamento de Salud y Servicios Sociales de Washington anuncia un data breach masivo
12 millones impactados por un breach en una telco japonesa, KDDI
🔒 Ransomware
JadePuffer, un ataque “agéntico”, ya se posiciona como un ransomware “con IA de principio a fin”
La Universidad Mount Royal confirma un ransomware
EE.UU. pagó 1 millón de dólares al grupo Kairos
💣 Exploits y malware
Detectan una nueva campaña de ClickFix que imita a Google y Cloudflare
Banana RAT, trojano de acceso remoto, tiene una nueva versión
FortiBleed sigue afectando dispositivos Fortinet
🔍 Threat intel y vulnerabilidades
Group-IB publica un nuevo perfil de Scattered Spider
Kali365, nueva plataforma de Phishing as a Service reemplaza la compra de infostealers
Reportes: Check Point Research, Dr. Web, Kela, Kaspersky, Cisco
🛠️ Tools y updates
DuckDuckGo ahora bloquea la mayoría de los avisos de YouTube dentro del navegador
IBM, Red Hat y Deloitte lanzan Lightwell, un proyecto para defender al código abierto de ataques con IA
Android reduce la cantidad de intentos para ingresar PIN
📋 Privacidad y regulaciones
La ONU pide regular la inteligencia artificial
Demanda colectiva contra Micron y Samsung por la escasez y venta cerrada de memoria RAM
Desestiman apelación de Google en la multa por 4,1 millones de euros
Este newsletter fue escrito por un humano. Se usó inteligencia artificial generativa para resumir textos, detectar errores de redacción, concordancia y typos. Aun así, puede contener imprecisiones.
Para cualquier comentario, corrección o sugerencia, podés responder este mail. Si tenés información sobre un hackeo, me podés contactar por acá o por mis redes.
Si te sirvió, compartilo: tu recomendación orgánica es mucho más valiosa que cualquier campaña publicitaria.











