DeepSeek: la IA china expuso chats de los usuarios y es “más efectiva” que ChatGPT para escribir malware
Además: Brasil le prohíbe a Worldcoin dar criptomonedas por escanear iris, dan de baja los foros underground Cracked y Nulled y EE.UU. avanza en prohibir routers TP-Link.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
24>31
ene
⚡TL;DR
El tema de la semana en el mundo tech fue, sin dudas, DeepSeek, un desarrollo de inteligencia artificial de China que puso patas arriba a la industria. Y, por supuesto, tuvo su correlato en la provincia de la ciberseguridad.
Por empezar, el modelo, presuntamente más eficiente, barato y open source (al menos en sentido amplio), hizo que la acción de Nvidia cayera (aunque la reacción general del mercado fue mixta) y puso a expertos a hablar (recomiendo escuchar al CEO de Perplexity, Aravind Srinivas, pensar sobre el fenómeno). Para entender más del tema a nivel general, esta entrevista en español es bastante esclarecedora.
A las pocas horas de estar disponible en las stores de Apple y Google, la app era la más descargada, por encima de competidoras como ChatGPT, Gemini. Y lo que salió a la luz apenas se lanzó DeepSeek al mundo fue un ciberataque contra la aplicación luego de que fuera lanzada de manera masiva.
El tema tuvo también su correlato en cuanto al desarrollo de malware, la privacidad y la seguridad: por un lado, comenzaron a aparecer informes que apuntan a que es más fácil desarrollar programas maliciosos en DeepSeek que en ChatGPT. Esto es discutible: varios hackers me han contado que no es muy complejo bypassear restricciones en la API de OpenAI para hacerlo escribir malware (estoy desarrollando esto para una nota en profundidad para la semana que viene).
Por el otro, en países como Italia bloquearon la app por preocupaciones en torno al manejo de datos de la aplicación. Y, además, hubo una filtración de datos sensibles de los usuarios, que incluye los chats de los usuarios.
El tema seguramente siga dando tela para cortar, no sólo en cuanto al mercado de la IA, sino en relación a problemas de seguridad.
A nivel regional, Brasil impuso nuevas restricciones contra Worldcoin: intentan, vía judicial, que no puedan brindar criptomonedas a cambio del escaneo de iris. Además, EE.UU. empezó a dar los pasos institucionales para prohibir routers extranjeros (TP-Link, en la mira), y YouTube sigue avanzando contra los usuarios que usan adblockers, ahora con una medida nunca antes vista: avisos comerciales de una hora sin la posibilidad de saltearlos.
En el plano regional estuvo tranquilo en cuanto a ciberataques, leaks y filtraciones, con algunos reportes de nuevas detecciones de malware y campañas masivas de phishing.
En esta edición:
🤖 DeepSeek reporta un ciberataque y es cuestionada por la seguridad y privacidad
🚫 Brasil le prohibió a Worldcoin dar criptomonedas a cambio de escanear iris
🥷 Los foros underground Cracked y Nulled, dados de baja
📹 YouTube refuerza la penalidad contra los adblockers: anuncios una hora
📡 EE.UU. avanza en la prohibición de TP-Link
👾 Ranking de malware de diciembre
⏰ Substack dice que leer este correo completo lleva 10 minutos
Dark News #124
DeepSeek reporta un ciberataque y es cuestionada por la seguridad y privacidad
DeepSeek, el desarrollo de inteligencia artificial de China, no sólo sacudió al mundo tecnológico de Silicon Valley sino que generó varios titulares en relación a problemas de ciberseguridad.
Ciberataques. La compañía propietaria del nuevo chatbot denunció el mismo lunes que salió al mercado que sufrió un ciberataque que la forzó a limitar la cantidad de altas de usuarios. La aplicación se posicionó primera en los stores de Apple y Google y pasó a ser la app gratuita más descargada. La empresa confirmó que fue víctima de un “ataque malicioso de gran escala”.
¿Vulnerable? Un reporte de Kela señaló que este nuevo chatbot es “significativamente más vulnerable”, en tanto es simple “engañarlo” para escribir malware, fabricar contenido sensible y hasta desarrollar ransomware”. Super smart, easily exploited, titularon uno de los tramos del reporte, donde dan casos de uso malicioso.
Información expuesta. Un reporte de Wiz detectó que luego de haber sido lanzado el modelo R1 de DeepSeek, la empresa no aseguró la infraestructura de la base de datos de los servicios tanto de la versión cloud como on-prem (DeepSeek se puede descargar para correr de manera local).
Esto expuso “API keys, secretos, detalles operacionales del backend” y, lo más grave, chat logs de los usuarios:
En pocos minutos encontramos una base de datos públicamente accesible de ClickHouse, completamente abierta y no autenticada, exponiendo información sensible. Estaba alojada en oauth2callback[.deepseek[.com:9000 y dev[.deepseek[.com:9000.
Prohibida en Italia. Algunos países ya empezaron a tomar medidas para contener el uso de DeepSeek. La autoridad de protección de datos de Italia pidió información sobre la privacidad de la app y luego la bloqueó de Play Store (Google) y App Store (Apple).
Pelea con OpenAI. La empresa fundadora de ChatGPT, cerca de llegar a los 340 mil millones de dólares de valuación, aseguró que tiene “evidencia” de que DeepSeek usó su modelo para entrenar a la inteligencia artificial de la competencia. A nivel técnico, aseguran que DeepSeek aplicó su “destilación” a partir de ChatGPT, una práctica de la industria para obtener mejor rendimiento en modelos más pequeños a partir de otros más grandes.
Brasil le prohibió a Worldcoin dar criptomonedas a cambio de escanear iris
La Autoridad Nacional de Protección de Datos (ANPD) de Brasil le prohibió a Tools For Humanity, empresa detrás de la criptomoneda Worldcoin (World), que escanee el iris del ojo de los ciudadanos a cambio de una criptomoneda o cualquier tipo de compensación económica.
Por qué. La división de cumplimiento de la ANPD sostiene que ofrecer criptomonedas como compensación “podría comprometer la validez del consentimiento de los usuarios para recopilar datos biométricos sensibles”.
La ley brasileña dice que el consentimiento para procesar datos personales sensibles debe ser libre, informado e inequívoco.
Contexto. No es la primera vez que la empresa enfrenta este tipo de dificultades. En diciembre de 2024, la Agencia Española de Protección de Datos (AEPD) ordenó a Worldcoin (World) borrar los datos de los iris escaneados y guardados en su plataforma.
La Provincia de Buenos Aires, en Argentina, sancionó a Worldcoin a mediados de 2024.
Los foros underground Cracked y Nulled, dados de baja
Los foros underground cracked, nulled, starkrdp, mysellix y sellix fueron confiscados por una operación conjunta de fuerzas de seguridad de Estados Unidos y Europa.
Operación Talent. Fuerzas de seguridad de Estados Unidos y Europa confiscaron 17 servidores y arrestaron a dos involucrados. Los sitios alojaban contenido pirata, desde cracks para software, herramientas de hacking para realizar ataques de credential stuffing y combolists (combinaciones de usuario y password).
A pesar de que había foros de discusión de hacking ético, los investigadores aseguraron que se trataba de un “hub” para actividad cibercriminal. Tenían más de 10 millones de usuarios.
Confirmación. Cracked comunicó en su canal de Telegram la confirmación de la baja del sitio, que se vio afectado por un banner de confiscación. “Ahora que todo el mundo tiene más clara la situación, Cracked fue incautado bajo la Operación Talent, sin que se hayan revelado los motivos concretos”, protestaron.
Operación conjunta. Los países involucrados en la acción son Estados Unidos, Italia, España, Francia, Francia, Australia y Rumania.
YouTube refuerza la penalidad contra los adblockers: anuncios una hora
Usuarios de YouTube experimentaron avisos de una hora sin la posibilidad de saltearlos. Aunque no está probado que sea en todos, al menos algunos de ellos tenían bloqueadores de anuncios activados. El estándar para avisos sin botón de skip es de 15 segundos en dispositivos móviles y 60 en TV.
La respuesta de Google. La empresa le envió un comunicado al medio especializado Android Authority:
Los anuncios son un sustento vital para nuestros creadores que los ayuda a dirigir y hacer crecer sus negocios. Por eso, el uso de bloqueadores de anuncios infringe las Condiciones del servicio de YouTube. Hemos puesto en marcha un esfuerzo global para instar a los espectadores con bloqueadores de anuncios activados a que permitan los anuncios en YouTube o prueben YouTube Premium para disfrutar de una experiencia sin anuncios.
Contexto. Google viene librando una batalla contra los ad-blockers desde 2023. La empresa, propiedad de Alphabet (Google), ya había aplicado una ralentización en la carga de los videos para hacer que la experiencia de quienes tienen instalado este tipo de software sea más incómoda.
EE.UU. avanza en la prohibición de TP-Link
Dos senadores de Estados Unidos presentaron un proyecto de ley para que el Departamento de Comercio analice los riesgos de seguridad asociados a routers y modems fabricados en el extranjero. En particular, apuntan a TP-Link, fabricante chino que vende uno de los routers más populares del mundo.
“ROUTERS Act”. La iniciativa apunta a identificar hardware que puedan estar bajo control de gobiernos que compiten con EE.UU., como Rusia o China, que es particularmente amenazante por su gran influencia en la fabricación de tecnología. Se titula Removing Our Unsecure Technologies to Ensure Reliability and Security, o la Ley ROUTERS.
Confirmación. El Wall Street Journal confirmó que hubo una carta de dos legisladores norteamericanos al Departamento de Comercio donde hablan de “vulnerabilidades inusuales” y que estos equipos se usan para “realizar ataques contra EE.UU.”.
La respuesta de TP-Link. La empresa asegura que vende sus routers bajo una compañía separada en California, que fabrica los equipos en Vietnam, y que está cooperando con Estados Unidos para demostrar que sus equipos son seguros.
Ranking de malware de diciembre
Check Point Research publicó su reporte mensual de amenazas de diciembre y destaca la predominancia de FunkSec, un actor de ransomware al que llaman “controversial”.
Quién es FunkSec. Se trata de un grupo de RaaS (ransomware-as-a-service) que fue detectado en diciembre y llegó a publicar 85 víctimas en su DLS (dedicated leak site). Check Point destacó dos denominadores comunes: el uso de inteligencia artificial para desarrollar su código por un lado, y que gran parte de su contenido es reciclado o incomprobable, “lo que despierta dudas respecto de la credibilidad y capacidades del grupo”.
Este es el ranking de malware de diciembre según el laboratorio de la empresa (las flechas indican el cambio comparado al mes pasado):
↑ FakeUpdates – downloader escrito en JavaScript.
↑ AgentTesla – RAT avanzado que funciona como keylogger e infostealer.
↓ Androxgh0st – botnet que apunta a Windows, Mac, y Linux.
↑ Remcos – RAT que apareció por primera vez en 2016 y se distribuye mediante documentos maliciosos de Office.
↑ AsyncRat – troyano que apunta a Windows.
↑ NJRat – RAT que apunta principalmente a agencias de Gobierno.
↑ Rilide – Extensión maliciosa para navegadores basados en Chromium.
↔ Phorpiex – Botnet activa desde 2010, distribuye otras familias de malware.
↓ Formbook – Infostealer que apunta a Windows y fue detectada por primera vez en 2016, identificado como Malware as a Service (MaaS).
↑ Amadey – bot troyano que recopila información del ecosistema de la víctima.
Además, Check Point dio a conocer la lista de marcas más imitadas por estafadores online:
Microsoft: 32%
Apple: 12%
Google: 12%
LinkedIn: 11%
Alibaba: 4%
WhatsApp: 2%
Amazon: 2%
Twitter: 2%
Facebook: 2%
Adobe: 1%
🔓 Breaches y hacks
Más de 435 mil direcciones de mail compartidas en Doxbin se leakearon [Have I Been Pwnd]
Roban 70 millones de dólares en criptomonedas del exchange de Singapur Phemex
El proveedor de identidad BeyondTrust dio más información del breach que sufrió en diciembre de 2024
🔒 Ransomware
Halcyon publicó un análisis de la nueva plataforma RaaS Arcus Media
RansomHub, el grupo más activo de ransomware de 2024 según Rapid7
UnitedHealth confirma que el ransomware del año pasado afectó a 190 millones de norteamericanos
💣 Exploits y malware
Apple parcheó un zero day en iOS y macOS (CVE-2025-24085)
Descubren un nuevo side channel contra CPUs Apple
Explotan una vulnerabilidad crítica en dispositivos Zyxel CPE
🔍 Threat intel
Apareció una nueva variante de la botnet Aquabot (Mirai)
Descubren una capa oculta de administrador en plataformas cripto: apuntan a Lazarus
Reportes: Apteco, Cloudflare, Forescout, Obsidian Security, Rapid7, Recorded Future
🛠️ Tools y updates
Bitwarden (password manager) agrega una función de seguridad
TeamViewer parchea una vulnerabilidad de severidad alta en aplicaciones de Windows
Atlassian lanzó una actualización de seguridad
📋 Privacidad y regulaciones
Signal ahora permitirá sincronizar mensajes entre dispositivos
Un proyecto de ley de EE.UU. apunta a prohibir sitios extranjeros de piratería
Europa quiere prohibir la venta de consolas de videojuegos a Rusia porque las usan para manejar drones
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.
Si te sirvió, compartilo: tu recomendación orgánica es mucho más valiosa que cualquier campaña publicitaria.