Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

🗓️ Break: Dark News vuelve a temas de agenda el viernes 10 de abril. El 3 de abril no habrá edición.

20~27
mar

⚡TL;DR

Meta (Instagram) y YouTube sufrieron esta semana un revés judicial que podría sentar un precedente para el resto de las plataformas: fueron condenadas por su diseño adictivo.

El caso, que venía ocupando la agenda de las Big Tech y era muy seguido de cerca no sólo por Silicon Valley sino también por la sociedad civil, puede abrir la puerta a futuras demandas contra aplicaciones como TikTok. La parte más interesante es que aquella Sección 230 de la Communications Decency Act, que fue tan importante para los inicios de internet, empieza a tambalearse en un mundo muy distinto al de mediados de los 90.

¿Y por qué es importante esto? Porque este veredicto trata a las plataformas como sujetas a la ley de responsabilidad por productos, y no como compañías de medios protegidas por inmunidad editorial, con más de 2.000 demandas similares pendientes.

Hablé con dos especialistas para responder a las preguntas del título de esta entrega, sobre todo porque fueron consideradas “negligentes” en el fallo y esto hace un poco de ruido (no pareciera haber negligencia, sino una decisión deliberada de hacerlas adictivas).

También hubo novedades en el frente del hardware en el norte: el ingreso de routers extranjeros (en particular, de China) estará prohibido en Estados Unidos. Adiós TP-Link, quizás de los routers hogareños más populares del mercado.

En el mundo de la IA, Microsoft reconoció que se le fue la mano con meter Copilot en todos lados, por lo que van a empezar a quitarlo de diversas herramientas de Windows. Y pasaron mil cosas más que ya me cuesta recapitular. Ahora veo a medio mundo decir “hay que usar Claude”, por ejemplo, en una ola de hype que va dejando posibles infecciones a cada paso que damos.

Otro tema para el que consulté a un especialista fue el cambio de titulares de Google en resultados de búsqueda y Discover, algo que puede sonar menor, pero que es un problema bastante grande no sólo para la industria de los medios sino también para diversos sectores sociales y el acceso a la información. Una ecología de medios saludable es más que un producto: es un pilar de la democracia. Meter mano en los títulos es, cuanto menos, polémico.

Esta semana pude escuchar un capítulo del podcast de Nilay Patel (Decoder) que es de lo mejor que escuché durante el último tiempo: Confronting the CEO of the AI company that impersonated me. Recomiendo, si tienen un rato, escucharlo completo. Es sobre el caso de Grammarly, que sacó una función que creaba “notas” y correcciones de personalidades con un sistema de IA que generó tanta controversia que fue retirada. Un amigo me recordaba la importancia de que medios de envergadura puedan poner contra las cuerdas a la industria, y no que funcionen como meras cámaras de resonancia de ella.

Aviso de agenda: el viernes que viene hago un break, pero ese fin de semana voy a reproducir un artículo nuevo que hice para 421 con fuentes de lujo.

La edición semanal vuelve el viernes 10 de abril.

En esta edición:

• ⚖️ Condenan a Meta y YouTube: qué es el diseño adictivo y por qué el caso va más allá de la “negligencia”

• 📡 Estados Unidos prohíbe los routers extranjeros

• 👮 Condenan a un IAB de Yanluowang ransomware y arrestan al dueño de LeakBase

• ✍️ Google cambia titulares de noticias y genera polémica

• 🐍 Comprometen LiteLLM en PyPI y desatan otro supply chain

⏰ Substack dice que leer este correo completo lleva 13 minutos

Dark News #194

Espacio publicitario

Acceder al reporte completo, en este enlace

Condenan a Meta y YouTube: qué es el diseño adictivo y por qué el caso va más allá de la “negligencia”

Un jurado de Los Ángeles declaró a Meta y YouTube responsables por haber perjudicado a una menor a través del diseño “adictivo” de Instagram y YouTube. Ordenó una indemnización inicial de US$ 3 millones: US$ 2,1 millones para Meta y US$ 900 mil para YouTube.

“Malicia”. Además de los daños compensatorios, el jurado concluyó que hubo “malicia, conducta abusiva o fraude”, una definición que habilita una segunda etapa para fijar daños punitivos. Ese monto podría elevar de forma significativa la condena.

Dark News contactó a Luis García Balcarce, especialista en derechos digitales, que explicó:

Por primera vez en la historia, un jurado determinó que el diseño de una plataforma digital, no su contenido, constituye un producto defectuoso generador de responsabilidad civil. Esa distinción es fundamental: desplaza el eje del debate desde la libertad de expresión hacia la seguridad del producto, y abre una vía de responsabilidad civil diferente, que en nuestra región se podría asociar a la defensa del consumidor.

El contexto. El caso, en el que se habla de negligencia de las plataformas, fue elegido como caso testigo dentro de miles de demandas coordinadas en California contra Meta, Google, TikTok y Snap por supuestos daños a la salud mental de menores.

Carolina Martínez Elebi, licenciada en Ciencias de la Comunicación y docente de la UBA, complementa:

Lo central de este caso es que el jurado les atribuye responsabilidad por el diseño mismo de las plataformas. Lo que se está diciendo es que Instagram y YouTube no dañan por accidente, sino por cómo están pensadas: mecanismos diseñados para captar y retener la atención, alineados con un modelo de negocio que depende de eso. Y, además, hay evidencia de que las empresas sabían que ese diseño podía causar daño.

Además, la autora del sitio DHyTecno plantea una discrepancia con la idea de que fueron consideradas “negligentes”:

Por eso, a mí no me termina de cerrar que se hable solo de negligencia. La negligencia supone que algo se les escapó o que no advirtieron el riesgo. Pero lo que aparece en este caso es otra cosa: un diseño con una intención concreta, orientado a maximizar la atención, y con señales internas de que sabían que podía generar daño.

Defensa. Meta dijo que discrepa con el veredicto y evalúa sus próximos pasos. Google fue más directa: anunció que apelará y sostuvo que el caso “malinterpreta” a YouTube.

Por qué importa. Es un fallo histórico que cuestiona el scroll infinito, autoplay, notificaciones constantes.

Para la industria, el mayor riesgo no es el monto inicial, sino que la Justicia empiece a forzar rediseños profundos sobre productos cuyo negocio depende de capturar atención.

Estados Unidos prohíbe los routers extranjeros

La FCC prohibió la importación de nuevos routers fabricados fuera de Estados Unidos, salvo que sus fabricantes consigan una excepción. La medida replica el esquema que ya había aplicado con drones extranjeros y apunta a reducir lo que considera riesgos para la seguridad nacional.

Qué cambia. Los routers ya vendidos podrán seguir usándose y los modelos ya aprobados seguirán entrando. Pero hacia adelante el impacto es fuerte: como casi todos los routers de consumo se fabrican fuera de EE.UU., la decisión funciona en la práctica como un freno a nuevos equipos.

El punto débil. La FCC vincula el riesgo con espionaje y campañas como Volt, Flax y Salt Typhoon. Pero fabricar localmente no necesariamente resuelve el problema: en ataques recientes también se explotaron routers de marcas estadounidenses como Cisco y Netgear, muchas veces vulnerables por falta de actualizaciones.

Qué significa. EE.UU. busca relocalizar hardware crítico y bajar su dependencia de Asia, aunque eso pueda achicar la oferta y encarecer el mercado de conectividad doméstica.

Condenan a un IAB de Yanluowang ransomware y arrestan al dueño de LeakBase

Un ciudadano ruso fue condenado a casi siete años de prisión en Estados Unidos por actuar como Initial Access Broker (IAB), una pieza clave en la cadena del ransomware: es quien se especializa en comercializar accesos a empresas o gobiernos para desplegar un ataque.

Qué pasó. Aleksey Olegovich Volkov, de 26 años, se declaró culpable de hackear redes corporativas entre 2021 y 2022 y vender esos accesos al grupo de ransomware Yanluowang. La justicia estadounidense lo condenó a 81 meses de prisión.

Cómo operaba. Volkov comprometía sistemas de empresas (al menos ocho en EE.UU.) y luego revendía esas credenciales al esquema ransomware-as-a-service del grupo. Los afiliados de Yanluowang cifraban los datos y exigían rescates de entre 300.000 y 15 millones de dólares.

LeakBase. En otra noticia, Rusia detuvo en la región de Rostov a un sospechoso de ser el dueño y administrador de LeakBase, uno de los foros cibercriminales más activos para comprar y vender bases robadas, filtraciones, exploits y servicios de hacking. Según la agencia estatal TASS, también lo acusan de haber creado la plataforma.

El contexto. LeakBase apareció en 2021 con apoyo del grupo ARES y explotó tras la caída de Breached en marzo de 2023: llegó a superar los 142.000 usuarios. Era gratis registrarse y funcionaba como un mercado de datos robados, pero también alojaba secciones de programación, ingeniería social, criptografía, OPSEC y guías para ciberdelincuentes.

Espacio publicitario

Google cambia titulares de noticias y genera polémica

Google empezó a probar en su buscador una función que reemplaza titulares originales de medios por versiones reescritas con IA dentro de los resultados tradicionales de búsqueda. Hasta ahora, el cambio ya había aparecido en Google Discover, pero ahora también llegó a los “10 blue links”, el formato clásico del buscador.

Qué cambia. Google mostró en varios casos títulos que los medios nunca escribieron y que incluso alteran el enfoque editorial de las notas. En uno de los ejemplos de The Verge, una nota crítica sobre una herramienta de IA para “hacer trampa en todo” (I used the ‘cheat on everything’ AI tool and it didn’t help me cheat on anything) apareció resumida como si simplemente promocionara ese producto.

Es decir, un título exactamente opuesto al sentido original de la nota.

Dark News consultó a Martín Becerra, investigador del Conicet y profesor de la Universidad Nacional de Quilmes y de la Universidad de Buenos Aires, para entender el alcance de este problema:

La reescritura de titulares en el buscador y en Discover tiene varias facetas preocupantes: por un lado, la intervención editorial de Google se hace explícita, cuando hasta hace poco tiempo trataba de disimularla. En rigor, el propio ordenamiento de los resultados en el catálogo del buscador ya representa una suerte de acción editora. Por otro lado, hay un avance sobre el derecho de autoría de las empresas periodísticas que, con todo derecho, protestan porque Google altera de modo inconsulto sus contenidos, siendo el título una pieza fundamental de los mismos.

Esto, advierte, podría redundar en un problema a futuro para Google:

Cambiar el título en muchos casos supone cambiar el sentido de lo que los medios editaron. Parece una decisión torpe por parte de Google, ya que además de exponerse como editora (y no como mera intermediaria) y de afectar derechos de propiedad intelectual, abre puertas a demandas judiciales por parte de las industrias de medios.

Por qué importa. El cambio reabre una pelea sensible entre Google y los medios: quién controla cómo se presenta una nota en el principal distribuidor de tráfico de la web.

Para las redacciones, modificar titulares puede afectar clics, SEO, estilo editorial y hasta la confianza en la información si la reescritura cambia el significado.

Comprometen LiteLLM en PyPI y desatan otro supply chain

El paquete LiteLLM en PyPI, una librería muy usada para conectar múltiples modelos de IA desde una sola API, fue comprometido con dos versiones maliciosas que robaban credenciales, tokens de autenticación, secretos de Kubernetes, claves SSH, wallets cripto y archivos .env.

Supply chain. El ataque vuelve a pegar en la cadena de suministro de software: detrás aparece TeamPCP, el mismo grupo vinculado al caso Trivy, que ya había generado un efecto cascada sobre imágenes de Docker y otros proyectos.

En este caso, el código malicioso se activaba al importar LiteLLM y, en la versión más agresiva, quedaba persistente mediante un archivo .pth, capaz de ejecutarse incluso aunque la librería ya no se usara directamente.

Por qué importa. LiteLLM tiene una adopción masiva en entornos de desarrollo y despliegues de IA. Endor Labs detectó que el malware también intentaba moverse lateralmente en clusters de Kubernetes y dejar una puerta trasera persistente.

Circulan reportes de hasta 500 mil dispositivos afectados o con datos exfiltrados, aunque esa cifra por ahora no fue confirmada de forma independiente.

🔓 Breaches y hacks

• Breach en Crunchyroll: roban datos de 6.8 millones de usuarios

• Breach en HackerOne

• Breach en el Ministerio de Finanzas de Países Bajos y la plataforma chilena Ley del Lobby

🔒 Ransomware

• Foster City, una ciudad entera de California, comprometida por un ransomware

• El subte de Los Ángeles sufre un ransomware

• Pay2Key, ransomware iraní, vuelve a estar activo

💣 Exploits y malware

• Aparece una nueva versión pública para usar DarkSword y hackear iPhone

• OpenClaw puede filtrar (más) datos vía prompt injection

• VoidLink, framework de malware de Linux

🔍 Threat intel y vulnerabilidades

• Tycoon2FA (Phishing-as-a-Service) vuelve a estar online después de un “takedown”

• Bitdefender detecta un incremento de campañas de phishing en Medio Oriente

• Reportes: Recorded Future, Red Canary, Cisco Talos, Mandiant, Qualys, Sophos.

🛠️ Tools y updates

• Mozilla lanza Firefox 149, con updates de seguridad

• Nueva plataforma para revisar la seguridad de proyectos OpenClaw

• Apple, TP-Link y Cisco lanzan actualizaciones de seguridad

📋 Privacidad y regulaciones

• GrapheneOS se niega a implementar verificación de edad

• Reddit prepara nuevo método de verificación de edad

• Wikipedia prohíbe herramientas de IA para crear artículos

Share