Ciberpatrullaje en Argentina, ahora con IA: estará bajo el área de Patricia Bullrich
El Ministerio de Seguridad oficializa el OSINT estatal, se pusieron a la venta los datos robados a Santander, dos operaciones contra botnets y leakean cómo funciona el algoritmo de Google Search.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
24>31
may
⚡ TL;DR
Luego de un break vacacional y tres entregas programadas, Dark News recupera su dinámica habitual de resumen semanal de noticias en torno a ciberseguridad, hacking y privacidad.
A nivel personal, puedo decir que fueron tres semanas necesarias para el reposo mental, aunque no tanto físico, agitadas por un road trip que tuvo mucha montaña y viñedos pero también algunas ciudades icónicas, de esas que nunca duermen.
Con las pilas recargadas y un poco de óxido en los dedos -no toqué un teclado en 21 días-, acá vamos.
En Argentina, una resolución publicada en el boletín oficial habilitó al ciberpatrullaje de la mano de Patricia Bullrich, ministra de Seguridad que ya tiene un historial en estos temas. Se trata de un revival de la gestión de Mauricio Macri (2015-2019) que tuvo continuidad con la presidencia de Alberto Fernández (2019-2023) y ahora se actualiza en el gobierno de Javier Milei. Beatriz Busaniche, de la Fundación Vía Libre, contestó algunas preguntas para dar contexto a esta idea del control online, qué límites tiene y qué riesgos, sobre todo, conlleva.
En el plano regional, un usuario colocó a la venta lo que sería la información robada a Grupo Santander (mediados de este mes). De ser real, se trataría de una importante filtración en el mundo privado, que incluiría datos de 28 millones de tarjetas de crédito.
En lo que respecta al escenario global, BreachForums reapareció tras haber sido confiscado hace dos semanas y apareció con una potencial filtración a Ticketmaster que afectaría a más de 500 millones de usuarios.
El escándalo de la semana, sin dudas, lo protagonizó Google y un leak que reveló cómo opera el algoritmo de búsqueda y enfureció a la comunidad SEO (Search Engine Optimization, es decir, cómo optimiza los resultados el motor de búsqueda del sitio). No es tan interesante cómo se filtró, pero sí qué implicancias tiene por el peso que tiene Google en la experiencia de navegación de la web actual.
Por este motivo, aproveché que compartí redacción con Emiliano G. Arnáez, especialista SEO y divulgador de privacidad digital, para hacerle algunas preguntas y entender mejor el tema. Junto a Daniel Meza, Emiliano es una de las personas de las que más pude aprender sobre el mundo del SEO y un especialista muy claro a la hora de explicar.
Además, una acción conjunta de Europol derribó una red de botnets en lo que llamaron la mayor operación contra el ecosistema de droppers, y el Departamento de Justicia de EE.UU. anunció el desmantelamiento de otra red, 911 S5. El tema acaparó los titulares de todos los medios especializados.
Una buena para terminar: Colorado aprobó en Estados Unidos una ley en favor del right to repair. Es uno de los estados más avanzados en protección de derechos online y frente al abuso de los monopolios tech (la Colorado Privacy Act es un ejemplo). Constituye un buen precedente para el movimiento que empuja la idea del derecho a reparar dispositivos, impulsada en Argentina por el colectivo Cybercirujas.
Por último, vi un capítulo más en la batalla que venimos contando en esta publicación entre YouTube y los adblockers: ahora, si están usando uno, puede pasarles que el video les vaya directamente al final.
Dark News #84.
Leer este correo te va a llevar 13 minutos.
El SSD externo Kingston XS1000 es una solución de respaldo de archivos que cuenta con velocidades de hasta 1.050MB/seg y altas capacidades de hasta 2TB, lo que proporciona una gran velocidad y espacio para almacenar los datos más valiosos. Viene con cable USB Type-C a Type-A para ofrecer una comodidad inigualable y una impresionante capacidad de almacenamiento.
👁 Ciberpatrullaje en Argentina, otra vez
El Ministerio de Seguridad de la Nación de Argentina habilitó (de manera oficial) el ciberpatrullaje en sitios web “de acceso público y fuentes digitales abiertas”. La medida, a cargo de la titular de la cartera, Patricia Bullrich, fue publicada en la Resolución 428/2024 del Boletín Oficial y especifica en qué casos se podrá llevar a cabo.
El texto oficial señala que las Fuerzas Policiales y de Seguridad Federales estarán a cargo de este OSINT y que “dichas tareas preventivas se llevarán a cabo únicamente mediante el uso de sitios web de acceso público y fuentes digitales abiertas entendiéndose estas como los medios y plataformas de información y comunicación digital de carácter público, no sensible y sin clasificación de seguridad, cuyo acceso no implica una transgresión al derecho a la intimidad de las personas, conforme lo normado en la Ley de Protección de Datos Personales N° 25.326 y sus normas reglamentarias”.
En cuanto a los usos prácticos, esto implica el seguimiento de delitos relacionados a venta de drogas, amenazas, venta de armas, ciberdelitos, venta de objetos robados, falsificación y comercialización de instrumentos públicos, maltrato animal, violencia de género, extorsión, acoso sexual, distribución de pornografía infantil, trata y tráfico de personas, lavado de dinero, terrorismo y venta de medicamentos sin receta (o apócrifas, como sucede en Telegram).
Dark News contactó a Beatriz Busaniche, presidenta de la Fundación Vía Libre y especialista en privacidad y derecho a la información, para consultarle qué implica esta medida y qué es el ciberpatrullaje:
La definición de ciberpatrullaje está relacionada a la inteligencia de fuentes abiertas [OSINT]. Es hacer un monitoreo sistemático de las expresiones que los usuarios publican en espacios abiertos: no supone vulneración de conversaciones privadas o entrar a un perfil que tenga protecciones de privacidad. Nosotros trabajamos este tema en Vía Libre cuando la misma Bullrich -como ministra de Seguridad de Macri- presentó un protocolo de ciberpatrullaje, que es histórico.
En este sentido, el problema no distingue de partidos políticos: durante la gestión anterior, del presidente Alberto Fernández, su ministra de Seguridad -Sabina Frederic- también aplicó un protocolo durante la pandemia, amparado en el marco del aislamiento social obligatorio. “No es nuevo esto en Argentina”, insiste Busaniche. Además, criticó:
Entendemos que el ciberpatrullaje es una forma de inteligencia criminal, por esto hicimos siempre seguimiento de estos protocolos con un informe. Por ser una forma de inteligencia, tiene que ser regulada con las garantías constitucionales de cualquier investigación de inteligencia criminal.
Según Busaniche, el artículo 5 de la resolución presentada esta semana por el Gobierno “genera preocupación” extra, más allá de estas cuestiones. Una vez más, la inteligencia artificial se cuela en la esfera pública y esto podría sumar una capa de opacidad más a la cuestión:
El párrafo que habla sobre inteligencia artificial, machine learning y tira todas las palabras novedosas que encontraron en un manual de ventas de sistemas de innovación, dice que va a estar bajo el ala de la supervisión del ministerio de Seguridad [Bullrich]. Eso nos preocupa porque se puede comprar tecnología para monitorear poblaciones específicas. Inmediatamente pensamos en la pelea que damos contra el reconocimiento facial, donde los proveedores de tecnología se amparan en cuestiones de propiedad intelectual para no dar a conocer cómo funcionan. Si se usan estas tecnologías, muy probablemente se escuden en el secreto por cuestiones de seguridad nacional y después van a decir que no se puede saber cómo funcionan esas tecnologías porque están amparadas en derechos de propiedad intelectual.
Según Busaniche, estas críticas son prematuras en torno al estado más general de la cuestión, pero estos puntos son los que más le preocupan a entidades que luchan por la protección de los derechos digitales de los ciudadanos.
🏦 Grupo Santander: pusieron a la venta los datos robados a mediados de mayo
A mediados de mayo, Banco Santander sufrió una filtración de datos que afectó a información interna de trabajadores de la compañía y clientes de España, Chile y Uruguay. El miércoles de esta semana apareció un posteo en un foro especializado, en el cual se vendería una gran cantidad de información personal por cerca de 2 millones de dólares. Se hizo desde una cuenta nueva, que no tenía posteos previos.
Según reportó el analista Germán Fernández en X, entre la información habría:
30 millones de datos de clientes
64 millones de datos de cuentas y saldos
28 millones de tarjetas de crédito
Listas de empleados de recursos humanos
Santander había dicho, inicialmente, que la filtración no implicaba “ningún riesgo para los ahorros ni las cuentas de sus usuarios, pues la información no incluye credenciales de acceso, contraseñas o herramientas para operar por Internet”.
A partir del posteo de esta semana se pudo ver que, de ser cierta, la información sí conllevaría un riesgo para los clientes de España y los países afectados de América Latina. “Por la velocidad con la que reaccionó Santander y el comunicado que sacaron, creería que la información que les robaron es real”, me dijo en off una fuente del ambiente.
Según una investigación de la Comisión para el Mercado Financiero (CMF) de Chile, el incidente había sido informado el pasado 10 de mayo y el breach vendría desde España. Tanto Chile como España tienen leyes y sanciones en torno a ciberseguridad robustas en comparación con otros países.
El usuario que tiene los datos ofrece contacto vía el protocolo XMPP. Santander no se refirió, hasta el momento, a la publicación.
🥷 BreachForums vuelve a estar activo, semanas después de haber sido confiscado
Luego de que el FBI volviera a confiscar a mediados de mes BreachForums, uno de los sitios de compraventa de datos personales más grandes del mundo, la página reapareció online este miércoles, al menos bajo un dominio en clearnet y un sitio en la dark web, según reportó Malwarebytes.
El administrador del foro se hace llamar ShinyHunters, un nombre conocido en el ambiente, asociado a la filtración de AT&T, y se cree que es el principal administrador de los anteriores BreachForums.
El martes, ShinyHunters puso a la venta un nuevo conjunto de datos que se correspondería con usuarios de Live Nation/Ticketmaster y serían más de 500 mil usuarios.
El sitio reapareció apenas dos semanas después de la acción coordinada del FBI con otras fuerzas dieran de baja la página. BreachForums venía en el ojo de la tormenta porque, estas semanas, actores de amenazas habían subido al sitio datos de 49 millones de clientes de Dell y el conocido grupo (o leaker) IntelBroker subió información clasificada de Europol, una fuerza policial que ya tuvo intervención en el takedown de diversos sitios de piratería.
Breach Forums es uno de los sitios más famosos del mundo para acceder a información robada. Durante los últimos años, filtraciones de datos importantes aparecieron en la web, donde en general se vende el material, aunque en algunos casos también se disponibiliza de manera gratuita.
Sin embargo, desde marzo del año pasado, viene experimentando turbulencias en sus operaciones. Por aquel entonces, el FBI llegó a arrestar a uno de los administradores del sitio, conocido por su online persona “Pompompurin” (Conor Brian Fitzpatrick). Llegó a ser acusado por delito informático y, más tarde, el sitio fue confiscado por fuerzas de seguridad, para reaparecer poco tiempo después.
Ahora, a mediados de mes y en otro capítulo de esta persecusión entre el gato y el ratón, fuerzas de seguridad secuestraron diversos dominios asociados al sitio ( .st, .cx, .is, y .vc) y el FBI aseguró que está analizando la información del backend del sitio.
Malwarebytes advirtió que la reaparición podría tratarse de un honeypot de las autoridades para atraer a más criminales, dar con ellos e intentar arrestarlos, aunque otras fuentes aseguran que la reaparición es legítima.
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
🔍 Filtración sobre cómo funciona el motor de búsqueda de Google
Uno de los escándalos más grandes de la semana fue protagonizado por una filtración en Google que reveló parte del funcionamiento de su algoritmo de búsqueda, no tanto por el leak en sí mismo, sino por sus implicancias.
El caso generó un debate intenso en la comunidad de SEO (optimización de motores de búsqueda) y entre los especialistas en tecnología. Los documentos revelan una serie de inconsistencias entre las declaraciones públicas de Google y la realidad de su funcionamiento interno.
Dark News contactó a Emiliano G. Arnáez, especialista SEO y divulgador de privacidad digital para entender las implicancias de esta filtración:
Esta documentación filtrada, correspondiente a la API Content Warehouse de Google Search, fue publicada -presuntamente- de manera accidental en un repositorio público de GitHub, lo que permitió su acceso libre durante un tiempo. La filtración expuso detalles sobre ciertos factores de clasificación que Google utiliza, muchos de los cuales contradicen las declaraciones públicas de la empresa. Estos documentos fueron luego analizados y confirmados como auténticos por ex-empleados de Google y expertos en SEO.
La filtración llegó a manos de especialistas en el tema y provocó un incendio para Google y su discurso sobre su motor de búsqueda. “La filtración fue inicialmente descubierta por Erfan Azimi, fundador de la agencia SEO EA Eagle Digital. Azimi contactó a Rand Fishkin y Mike King, reconocidos expertos y divulgadores de SEO, quienes verificaron y analizaron los documentos”, complementa Arnáez.
Ahora bien, quizás una de las implicancias más interesantes tiene que ver con cómo afecta al panorama del SEO esta noticia, en tanto la influencia que tiene Google en la experiencia que el usuario promedio tiene de la web es absolutamente determinante.
A través de la documentación filtrada, se descubrió que Google utiliza una amplia variedad de datos de clics, patrones de navegación y otros factores para clasificar los resultados de búsqueda. Estos datos se recopilan mediante lo que el usuario haga en su navegador Chrome y por otra parte están las cookies que también se utilizan para evaluar la calidad y relevancia de los links. Los documentos también revelaron la existencia de sistemas como NavBoost, que ajusta las clasificaciones basándose en el comportamiento del usuario, y la utilización de listas blancas para tópicos críticos como salud y temas electorales. La revelación de esta información pone en evidencia que Google estuvo utilizando prácticas que negó públicamente durante años, lo que llevó a la comunidad de SEO a replantear sus estrategias basadas en estos nuevos conocimientos.
La compañía lanzó una declaración en la que no niega que los documentos sean falsos y acusó “falta de contexto”. Cerró Arnáez:
GoogleLeaks afecta significativamente a los especialistas en posicionamiento web, ya que confirman que Google utiliza datos de clics, autoridad del sitio y del autor, y otras métricas que había negado públicamente. Esto obliga a los SEO a ajustar sus estrategias, enfocándose más en mejorar la experiencia del usuario, asegurando mayor permanencia, y fortaleciendo la autoridad del dominio y de los autores.
Por si les interesa estos temas, Emiliano dio una charla sobre el vínculo entre privacidad y SEO en Nerdearla el año pasado.
👮 Botnets en jaque: “Operation Endgame” de Europol y EE.UU. baja 911 S5
Una fuerza conjunta conformada por Europol y autoridades como el FBI y distintas Policías europeas confiscó la infraestructura de una serie de conocidas botnets, entre las que se encuentran los droppers de IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee y Trickbot.
Bajo el nombre de “Operation Endgame”, la acción ocurrió entre el 27 y el 29 de mayo e involucró allanamientos en 16 locaciones en Europa y terminó con el arresto de cuatro ciudadanos, uno en Armenia y tres en Ucrania. Además, se identificaron ocho fugitivos conectados a operaciones de malware que pasaron a la lista de most wanted.
En la operación participaron fuerzas policiales de Alemania, Estados Unidos, Reino Unido, Francia, Dinamarca y Países Bajos, además de empresas de inteligencia como Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus y DIVD. Se confiscaron cerca de 2 mil dominios, ahora bajo control de las autoridades.
Esta misma semana, el Departamento de Justicia de Estados Unidos también desmanteló la botnet 911 S5 y arrestó a un ciudadano chino de 35 años, YunHe Wang, en Singapur, por apuntarlo como su administrador.
"Trabajando con nuestros socios internacionales, el FBI llevó a cabo una operación conjunta y secuenciada para desmantelar la botnet 911 S5, probablemente la botnet más grande del mundo", dijo el director del FBI, Christopher Wray.
Según el FBI, entre las TTP de los atacantes que usaban esta botnet estaban servicios disfrazados de VPNs gratuitas. “Ya en 2011, Wang y sus conspiradores introdujeron malware en los dispositivos de las víctimas mediante varias aplicaciones VPN maliciosas que incluían backdoors”, explicaron. Entre ellas estaban MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN y ShineVPN.
Brian Krebs publicó un detallado posteo con una buena cantidad de enlaces y detalles, bajo la pregunta: “¿Es tu computadora parte de la botnet más grande de la historia?”.
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.
🔗 Más info
Check Point lanza un fix para un zero day en sus VPN
Okta advierte sobre un ataque de credential stuffing sobre una función propia
Cooler Master y la BBC sufrieron data breaches
Más revelaciones de Guacamaya Leaks en México
OpenIA creó un “safety board”
Estiman que detrás del grupo de ransomware Scattered Spider hay más de mil personas
Nuevos casos de Pegasus en Europa
Netflix ya repartió 1 millón de dólares con su programa de bug bounty