Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos por Juan Brodersen según estos criterios de edición.

9>16
may

⚡TL;DR

Luego de unas semanas con relativa calma, mayo explotó en títulos de ciberataques, con el Ejército Argentino como protagonista. A principios de semana comenzó a circular una información sobre la venta de un lote de datos de miembros de la fuerza: abajo, qué se sabe hasta el momento y qué información tendría el atacante.

El caso más llamativo, a nivel global, fue el de Coinbase, el exchange cripto: la empresa reconoció un breach y extorsión por 20 millones de dólares de parte de un atacante que actuó con colaboración interna. En un impensado twist, el CEO de la compañía ofreció 20 millones de bounty para quien delate a los hackers (y claro, estallaron los memes).

En el plano regional hubo mucho movimiento en el mundo de los deepfakes bancarios. Agustín Merlo, especialista en este tipo de amenazas, detectó una campaña con deepfakes de distintos directores y gerentes bancarios promocionando sitios para invertir (estafas), y el Banco de Crédito de Perú advirtió sobre un video hecho con un deepfake que imitaba a su CEO para promocionar inversiones. También se detectó un nuevo troyano bancario brasileño, llamado BrazilMob, y salió un buen reporte sobre una campaña de imitación de marcas en Colombia.

Hubo una noticia importante en el plano de la regulación de vulnerabilidades: se suma un nuevo jugador con ENISA, agencia de ciberseguridad europea, que lanzó su propio sistema de vulnerabilidades. Aunque se especuló con el recorte presupuestario de Donald Trump en áreas de seguridad de EE.UU. (todo el conflicto con la renovación del contrato de MITRE), es un proyecto que se venía desarrollando desde hace tiempo.

En otro capítulo de “ransomware drama” se empezaron a filtrar videos que serían del grupo de ransomware Conti. Sin confirmar, por el momento, aunque son divertidos para ver.

Otra noticia interesante que crucé tiene que ver con una idea que arrojó uno de los pioneros de la programación: John Carmack, padre del código fuente del histórico videojuego Doom (ya estoy jugando The Dark Ages, por cierto), dijo que “el mundo podría correr en hardware más viejo”. Me parece una idea potente en relación a la obsolescencia programada, motivo por el cual le dediqué un tramo de esta edición (de paso, recomiendo Masters of Doom, gran libro de David Kushner donde se pueden ver las habilidades del code-wizard Carmack).

La perlita de la semana: tenemos el Papa más cyberpunk de la historia. Robert Prevost contó que eligió como nombre León XIV por sus preocupaciones sobre la inteligencia artificial.

Al hablar del predecesor que usó el nombre León, dijo: “El Papa León XIII, en su histórica Encíclica Rerum Novarum, abordó la cuestión social en el contexto de la primera gran revolución industrial”. En su discurso, León XIV describió explícitamente los avances de la IA como “otra revolución industrial”.

Cierro con un aviso: el domingo publico una edición especial de Dark News, con una entrevista a una de las mentes más brillantes de la cultura digital actual. Espero que disfruten esa lectura sorpresa.

En esta edición:

• 🪖 Venden información del Ejército Argentino: qué datos dice tener el atacante y qué riesgos implica

• 🪙 Breach en Coinbase: piden 20 millones de rescate y el CEO pone un bounty sobre los atacantes

• 🥷 “Los hackers rusos quieren caos y dinero”, dice la OTAN y habla de “guerra no declarada”

• 📑 ENISA, nueva base de datos para registrar vulnerabilidades

• 💾 “El mundo podría correr en hardware más viejo”: John Carmack

⏰ Substack dice que leer este correo completo lleva 11 minutos

Dark News #141

Venden información del Ejército Argentino: qué datos dice tener el atacante y qué riesgos implica

El Ejército Argentino analiza una publicación de un cibercriminal en un conocido foro de compraventa de información personal, en la cual se asegura que hay datos de 50 mil militares de personal de la fuerza.

Diversos sectores del Gobierno, desde el Ministerio de Defensa hasta la Agencia Federal de Ciberseguridad, analizan el alcance que podría tener el presunto hackeo que habría originado la filtración.

Qué pasó. El caso lo dio a conocer Birmingham Cyber Arms LTD, una empresa que hace inteligencia de amenazas y monitorea hackeos y filtraciones, tanto en el Estado como a nivel del sector privado. “Un actor de amenazas vende datos de 50 mil militares en Argentina en un PDF: DNI, fecha de nacimiento, residencia, registros de viajes, diplomas y más”, publicó en su sistema de monitoreo de amenazas, Sheriff.

Mauro Eldritch, director de la empresa, contó a Dark News qué datos se venden:

Se trata de un lote de 50.000 documentos en formatos mixtos entre PDF y capturas de pantalla, lo que indicaría el nivel de acceso que tiene el atacante al sistema del cual fueron extraídos. Parecen extraídos de un sistema documental en forma incremental, lo que indicaría una vulnerabilidad que permite visualizar los datos (en este caso los perfiles de usuarios) que se identifican por un valor que va ascendiendo (como 1, 2, 3, 4).

Esto es lo que en ciberseguridad se llama "IDOR", Insecure Direct Object Reference, o “referencia directa insegura a objetos”. Así, por ejemplo, si una dirección web termina en "445", al cambiarlo por "446" se puede ver el perfil de otro usuario. Mediante la técnica de screen scraping se puede extraer información de un sitio de forma automatizada.

Siguió el especialista:

El lote contiene mucha información sensible por ser de carácter militar, desde historial académico y fotografía, registros de viajes y familiares de los efectivos, por lo que podría tratarse de una copia de seguridad de un sistema que contiene legajos. La parte crítica de lo que está presuntamente a la venta son las fojas de servicio, donde se puede ver con lujo de detalles la carrera militar, dónde prestó servicio ("arma o servicio"), en qué rol y con qué grado en ese momento. Es la historia militar de cada persona, que muchas veces revela datos sensibles no sólo de la persona sino de los movimientos internos del Destino (destino como lugar militar).

Qué dice el Ejército. La fuerza de seguridad emitió un comunicado el pasado martes en el que aseguran que “podría tratarse de acceso a datos de carácter administrativo que no comprometerían las capacidades de la Fuerza”.

Dark News se contactó con el Ejército para pedir una actualización sobre el estado del incidente y confirmaron que este jueves se amplió la denuncia presentada el 8 de mayo ante la División Delitos Informáticos de la Policía Federal.

Dato. En la filtración del Registro Nacional de las Personas (RENAPER) del año pasado había carpetas muy específicas, que tenían bases de datos con información de personal de la Armada con nombre completo y grado militar, lo que denota que este nuevo caso no sería el primero en afectar a las Fuerzas Armadas.

Breach en Coinbase: piden 20 millones de rescate

Coinbase, exchange con más de 100 millones de usuarios, dio a conocer un breach en el que cibercriminales lograron robar datos de clientes y demandan 20 millones de dólares para no difundirlos. El ataque ocurrió con colaboración interna.

Qué sucedió. El 11 de mayo, Coinbase recibió un mail en el que le exigían un rescate millonario a cambio de no publicar información interna y datos de cuentas de clientes. La compañía confirmó que accedieron a sistemas internos mediante la colaboración de contratistas que trabajaban en soporte técnico fuera de EE.UU.

Los insiders fueron detectados, despedidos y bloqueados, pero ya habían logrado exfiltrar datos.

Qué robaron. Aunque no se vieron comprometidas claves privadas ni fondos, los atacantes accedieron a información sensible de aproximadamente el 1% de los usuarios (unos 1 millón de personas), incluyendo nombres completos, dirección, teléfonos, mail y números de cuentas bancarias, además de imágenes de documentos oficiales.

Bounty. El CEO de la empresa aseguró que no van a pagar y que, en su lugar, ofrecen 20 millones de dólares como payback para quien entregue al atacante. .

Se puede ver en el video que subió en este tuit de su cuenta de X.

“Los hackers rusos quieren caos y dinero”, dice la OTAN y habla de “guerra no declarada”

El director del Centro de Excelencia en Defensa Cibernética de la OTAN (CCDCOE), Mart Noorma, advirtió que “el mundo está inmerso en una ciberguerra en todo sentido, menos en el legal” y apuntó directamente a Rusia: sus hackers buscan “sembrar caos, robar dinero e influir en democracias”, aseguró.

Contexto. En una entrevista con el noticiero estonio Aktuaalne kaamera, Noorma describió un escenario de ataques constantes impulsados por grupos vinculados al Kremlin. La estrategia rusa: “Generar confusión geopolítica y cognitiva sin dejar huellas oficiales”.

Por qué importa. Según el delegado de OTAN, los ciberataques rusos no sólo apuntan a Ucrania: también afectan a países miembro y sectores críticos como la energía, como ocurrió con el sabotaje al sistema de Viasat al inicio de la guerra. Incluso intentan infiltrarse en plataformas de mensajería como Signal, aseguró.

Diferencia. Noorma comparó estilos y dijo que China “prefiere el espionaje sistemático y Corea del Norte el cibercrimen”.

Lo relevante es que dijo que Occidente “también participa, aunque sin admitirlo”. Además, proyectó que el daño por ciberataques para 2025 es “de 10 billones de dólares: más que el PBI de muchos países”, en una cifra de origen dudoso (o, al menos, incomprobable).

ENISA, nueva base de datos para registrar vulnerabilidades

La Agencia de Ciberseguridad de la Unión Europea (ENISA) lanzó la European Vulnerability Database (EUVD), una base de datos propia de vulnerabilidades que busca centralizar y transparentar información sobre fallas de seguridad en software, hardware y dispositivos conectados en el ecosistema europeo.

Por qué importa. Hasta ahora, las principales bases de datos públicas eran administradas por EE.UU. (MITRE y NIST/NVD). En un contexto de cuestionamientos sobre demoras y posibles agendas geopolíticas en la publicación de CVEs por parte de EE.UU. y China, la UE apuesta por una infraestructura propia, bajo sus propias reglas de transparencia.

Qué significa: La EUVD fue ordenada por la directiva NIS2 (2022) y está diseñada para ofrecer datos agregados, confiables y con contexto práctico sobre vulnerabilidades. Se nutre de múltiples fuentes: fabricantes, equipos de respuesta a incidentes, MITRE, la base de datos KEV de CISA, entre otras. Aunque ENISA ya es una CVE Numbering Authority (CNA), el sistema también tendrá un esquema propio de numeración de fallas.

Un avance, con cautela. SecurityWeek consultó a tres especialistas del mundo corporativo, que arrojaron estas ideas:

• Patrick Garrity (VulnCheck): “Tiene sentido que Europa quiera un sistema propio, aunque hoy sea redundante con el programa CVE. Es una forma de tener control regional”.

• Nathaniel Jones (Darktrace): “Es una buena noticia para la comunidad global. Evitar puntos únicos de falla en el reporte de vulnerabilidades es clave”.

• Julian Davies (Bugcrowd): “El desafío será no volverse otra base paralela más. Se necesita claridad, no más ruido”.

El reparo unánime del sector, por el momento, tiene que ver con no espejar la nomenclatura de vulnerabilidades y crear ruido, en vez de simplificar.

“El mundo podría correr en hardware más viejo”: John Carmack

John Carmack, leyenda de la programación y creador del engine de Doom, planteó que gran parte del software actual podría funcionar en hardware viejo, siempre que se escribiera con una filosofía de eficiencia como la de los ‘90: sin frameworks pesados, sin microservicios y sin capas innecesarias.

Contexto. Carmack intervino en un ejercicio hipotético propuesto en X (ex Twitter) por la investigadora de Google LaurieWired: “¿Qué pasaría si dejáramos de fabricar nuevos chips? ¿Podríamos seguir adelante con el hardware actual?” La respuesta de Carmack fue que sí, “si el software estuviera bien optimizado”.

El desarrollador, que tuvo un paso por Meta hace pocos años, dijo que habría que programar solo con código nativo, monolítico, pensado para exprimir cada ciclo de CPU, en este escenario hipotético, en lo que sería un “reseteo de paradigma” donde se priorice la optimización por sobre la comodidad o la velocidad de desarrollo.

Por qué importa. Aunque surge de un experimento mental, lo que dijo Carmack aplica al presente: la mayoría del software moderno está sobrecargado, en tanto la industria asume que siempre habrá más poder de cómputo disponible. Pero eso tiene un costo ambiental, económico y social.

Esto ha llevado a un escenario de derroche de recursos por un lado y de limitaciones en el aprendizaje de la programación y los procesos computacionales que hacen que el hardware pase a ser obsoleto muy rápido, contribuyendo a la obsolescencia programada.

🔓 Breaches y hacks

• Roban 2.15 millones de dólares en criptoactivos de Moebius tras explotar una vulnerabilidad

• Steam desmiente haber sido hackeada

• Abusan de GovDelivery, un sistema usado por Gobiernos, para enviar spam

🔒 Ransomware

• DragonForce amenaza a sus propios afiliados

• Diversos grupos están explotando una vulnerabilidad severa en SAP

• Troyanizan KeePass para una campaña de ransomware

💣 Exploits y malware

• Desmantelan la operación de la botnet Anyproxy

• Pupkin Stealer, malware .NET

• Una campaña de ciberespionaje apunta a servidores con vulnerabilidades en XSS

🔍 Threat intel y vulnerabilidades

• Encuentran un RCE one-click en software preinstalado de ASUS

• Fortinet parchea un zero-day en FortiVoice

• Reportes: Check Point, CyFirma, Black Kite, Kaspersky, Google, Malwarebytes

🛠️ Tools y updates

• Microsoft Teams agrega protección contra capturas de pantalla

• Google dio esta semana detalles sobre Android Advanced Protection

• Chrome hereda una función de Microsoft para prevenir a usuarios de Windows correr con privilegios de administrador

📋 Privacidad y regulaciones

• Multan a Google con 1.4 mil millones de dólares por trackear usuarios

• Wikipedia abre una demanda contra el Gobierno de Reino Unido

• EE.UU. acusa a TikTok de violar la Digital Services Act

Share