Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

28 feb>
7mar

⚡TL;DR

El acercamiento de Estados Unidos a Rusia y la pelea entre el presidente Donald Trump y su par ucraniano, Volodymyr Zelensky, tuvo esta semana su capítulo cyber. Tres notas periodísticas aseguraron, de alguna u otra manera, una premisa muy fuerte: “EE.UU. ya no considera que Rusia es una ciberamenaza”.

¿Es así?

No. Pero sí hay algunas ideas interesantes para analizar a partir de lo que publicaron The Guardian, The Record y el Washington Post: sí hubo órdenes internas de hacer una suerte de pausa, en el marco de las negociaciones entre ambas potencias. Para aclarar un poco esta cuestión, le dediqué un poco más de espacio a este tema al comienzo del newsletter.

Por el lado del ransomware, salió un estudio interesante que publicó una aseguradora, donde se puede tener un indicio sobre cuáles siguen siendo las amenazas más frecuentes: ransomware y supply chain. También hubo novedades en el caso del robo de activos a Bybit.

Salió un reporte de Access Now bastante preocupante, donde señala que 2024 fue el peor año en términos de interrupciones de servicio de internet por parte de Gobiernos: 292 cortes en 54 países.

Un anuncio de Google que me pareció interesante: Android está desplegando su nueva función para detectar estafas telefónicas (vishing) por IA: cuando el sistema detecta que, del otro lado, hay alguien pidiendo datos o haciendo ingeniería social, despliega una advertencia sobre “posible estafa”. Privacidad por seguridad, dirán algunos.

La perlita de la semana es para los modders: el código fuente de Command and Conquer: Red Alert ahora está liberado. Vengan esos mods 2025.

En esta edición:

• 🥷 La administración Trump aclara que Rusia sigue siendo una ciberamenaza

• 🔗 Ransomware y supply chain, al tope de las aseguradoras

• 💰 Bybit confirma que un quinto de los fondos robados es imposible de recuperar

• 🕵️‍♀️ Investigan a TikTok, ahora en Reino Unido y por los datos de los menores

• 📑 Polémica con Firefox por los datos personales de los usuarios

⏰ Substack dice que leer este correo completo lleva 10 minutos

Dark News #129

La administración Trump aclara que Rusia sigue siendo una ciberamenaza

Diversas versiones indicaron, durante la semana pasada, que Estados Unidos dejaría de considerar a grupos de hackers asociados a Rusia como una amenaza cibernética. Sin embargo, hubo una respuesta oficial de la administración de Donald Trump para negar estas versiones. Luego, los periodistas contestaron.

Qué pasó. Para entender qué sucedió hay que ordenar los hechos:

1. El diario británico The Guardian publicó, el viernes pasado, un reportaje en el que se aseguraba que la administración Trump iba a dejar de considerar a Rusia como una amenaza cyber para Estados Unidos.

2. Una hora y media después, The Record publicó otro artículo que revelaba que el U.S. Cyber Command -unidad dentro del Departamento de Defensa- había recibido la orden de dejar de apuntar contra Rusia y hasta dar de baja operaciones de ciberofensa contra ese país.

3. Fuentes: The Guardian. En tanto no se trata de una postura oficial de Estados Unidos, el trabajo que hay que hacer es revisar las fuentes. The Guardian se basó en una única fuente anónima que le aseguró a la periodista Stephanie Kirchgaessner que cualquier investigación que tuviese a Rusia como objetivo sería “prohibida”. Y el indicio tenía que ver con que durante los últimos discursos oficiales no había aparecido Rusia en la lista de las amenazas, pero sí China e Irán.

4. Fuentes: The Record. The Record fue más certero, al apuntar como fuente al Secretario de Defensa, Pete Hegseth, quien según el medio dio la orden al Cyber Command de detener sus investigaciones contra Rusia, en “una prueba de los esfuerzos de la Casa Blanca por normalizar los lazos con Moscú”. Esto no afecta a la NSA, con lo cual la unidad de ciberespionaje que apunta a Rusia se mantiene en funciones.

5. Es muy importante aclarar: ambas notas cuentan temas diferentes y una no confirma a la otra (si bien la hipótesis de base es la misma, el descongelamiento de la rivalidad Rusia-EE.UU.). Sobre todo porque las funciones del Cyber Command y CISA son distintas: el Cyber Command, como unidad de Defensa, tiene a su cargo operaciones de defensa y ofensa, con lo cual puede tanto frenar un ataque como conducir uno contra unidades de otro país. CISA, en cambio, tiene una función doméstica exclusiva de defensa.

6. Una tercera nota, del Washington Post, echó más luz sobre el artículo de The Record: la orden al Cyber Command es sobre una suspensión de las operaciones que apuntan a Rusia, no una cancelación total. Y argumenta que esto es común durante períodos de negociaciones, como el que están atravesando Rusia y EE.UU.

A partir de estos dos artículos, las piezas empezaron a moverse. La principal conclusión que se vio entre expertos fue de preocupación para la seguridad nacional de EE.UU., con los consecuentes potenciales peligros para la periferia. Esto desató la reacción del Gobierno de los Estados Unidos.

Postura oficial. El Departamento de Defensa emitió una declaración categórica a Bloomberg, también publicada en X:

Hegseth no ha cancelado ninguna operación cibernética dirigida contra objetivos maliciosos rusos y no ha habido ninguna orden de retirada de esa prioridad.

Por el otro, CISA también negó publicamente las afirmaciones de The Guardian, en un posteo de X:

La misión de CISA es defenderse contra todas las ciberamenazas a las infraestructuras críticas de Estados Unidos, incluidas las procedentes de Rusia. No ha habido ningún cambio en nuestra postura. Cualquier información en sentido contrario es falsa y socava nuestra seguridad nacional.

Conclusión. Por un lado, es factible que EE.UU. esté congelando las operaciones actuales en contra de Rusia, en un contexto lógico de negociación -o al menos, dando esos signos públicos, a través de voceros en medios-.

Por el otro, no sería la primera vez que la gestión Trump acusa de “fake news” a publicaciones periodísticas, aunque es cierto que el artículo de The Guardian tenía una sola fuente y anónima.

Ransomware y supply chain, al tope de las aseguradoras

El ransomware y los ataques vía terceras partes continúan a la cabeza de la lista de amenazas cibernéticas más frecuentes para el mercado de las aseguradoras.

Números. La empresa aseguradora Resilience afirmó que en 2024 estas dos categorías “causaron pérdidas sin precedentes”. Explicaron:

Los sistemas interconectados y las dependencias externas han creado nuevas vulnerabilidades, haciendo que los ciberataques tengan más alcance y sean más costosos que nunca. […] Las empresas se enfrentan a una nueva realidad en la que su seguridad es tan fuerte como su socio más débil. Mientras tanto, el ransomware se mantiene como la principal causa de pérdidas, evolucionando tanto en estrategia como en impacto.

Phishing. Un dato interesante del reporte es que el compromiso de sistemas vía phishing bajó en relación a 2023, aunque sigue siendo un “punto de falla” que lidera los ataques.

Cómo funcionan las aseguradoras. Las aseguradoras se manejan, por lo general, con cyber-pólizas que cubren los costos que puede tener una empresa o entidad a la hora de hacer el recovery. A pesar de que muchas veces se dice que un ataque “costó X millones”, cuantificar el daño material de un ciberataque es muy difícil.

Bybit confirma que un quinto de los fondos robados es imposible de recuperar

Luego del robo cripto más grande de la historia, Bybit confirmó que un quinto de los fondos robados es imposible de recuperar.

Qué pasó. El CEO de la compañía, Ben Zhou, dijo en Twitter (X) que cerca de un 20% de los 1.400 millones de dólares que fueron robados durante la semana pasada ya son parte del mercado negro: “79,665 ETH, alrededor del 16% de los fondos, están en la oscuridad”, aseguró, a través de distintas técnicas de mixing. El 77% del dinero está en un ecosistema rasteable, complementó.

Según aseguró, “esta y las próximas semanas son críticas para freezar fondos”.

Contexto. La semana pasada, el FBI confirmó que el robo de 1.5 mil millones de dólares en criptoactivos a la plataforma Bybit fue llevado a cabo por Lazarus, grupo cibercriminal que representa los intereses de Corea del Norte.

Luego del robo, Bybit apenas pudo recuperar el 3%.

Investigan a TikTok, ahora en Reino Unido y por los datos de los menores

TikTok está ahora bajo la lupa de la autoridad de regulación de datos personales de Reino Unido: el Information Comissioner’s Office (ICO) inició una investigación sobre cómo recopila información de los menores de edad. La investigación se extiende a Reddit e Imgur.

Por qué. La preocupación de Reino Unido pasa por el sistema mediante el cual TikTok recomienda contenido a los menores, en particular, del rango entre los 13 a los 17 años. Dice el escrito:

Esto se debe a la creciente preocupación por las redes sociales y las plataformas de intercambio de vídeos que utilizan datos generados por la actividad en línea de los niños en sus sistemas de recomendación, lo que podría dar lugar a que los jóvenes recibieran contenidos inapropiados o perjudiciales.

Contexto. TikTok enfrentó una serie de problemas en Estados Unidos que llevaron a suspender el uso de la app el 20 de enero de este año, afectando a 170 millones de usuarios. Tras una tregua, que se termina el próximo 5 de abril, la situación sobre la aplicación de capitales chinos es incierta.

La preocupación de Reino Unido bien podría aplicar al resto de las redes sociales, en tanto el uso de los datos de los menores para hacer recomendaciones opera en cualquier plataforma social.

TikTok tiene 1.690 millones de usuarios activos al mes en todo el mundo.

Polémica con Firefox por los datos personales de los usuarios

Mozilla actualizó los términos y condiciones de uso de Firefox y habilitó al uso de los datos personales de los usuarios. El update generó críticas dentro de la comunidad por la vaguedad respecto del mensaje: sugería que cualquier dato cargado en el navegador Firefox podía ser usado por el browser.

Aclaración. Por la polémica, Mozilla aclaró que no usaría la información del browser, aunque nunca explicó por qué borró una sección de los términos y condiciones que prevenía la venta de datos de terceros.

Contexto. Firefox, el navegador de Mozilla, se posicionó como un referente en privacidad del usuario, aunque Brave le ha ganado terreno en los últimos años, tanto por el bloqueo de trackers como el bloqueo de cookies de terceros y tener un motor propio (Gecko) por fuera de Chromium -ecosistema Google-.

🔓 Breaches y hacks

• Amnistía Internacional encuentra tres zero-days en Cellebrite

• La agencia espacial polaca sufre un ciberataque

• NTT confirmó que se filtraron datos de 18 mil clientes en febrero de este año

🔒 Ransomware

• Qilin Ransomware ataca a la sinfónica de Houston

• Hunters International se atribuye el ataque a la corporación Tata de enero de este año

• Crece la actividad de Medusa Ransomware (Symantec)

💣 Exploits y malware

• Cada vez hay maś repositorios infectados en GitHub: nuevo research independiente

• Miles de dispositivos, todavía vulnerables a una falla de VMware ESXi

• Microsoft advierte que una campaña de malvertising impactó en 1 millón de equipos

🔍 Threat intel y vulnerabilidades

• Una nueva botnet infectó a más de 86 mil dispositivos: Eleven11bot

• Arrestan al líder de Black Basta en Armenia y lo liberan

• Reportes: Cloudflare,Recorded Future, Kaspersky.

🛠️ Tools y updates

• Firefox se actualiza a la versión 136

• Incautan el dominio de Garantex, exchange usado por grupos de ransomware

• Lanzan una guía contra el ransomware en AWS

📋 Privacidad y regulaciones

• Apple apeló en Gran Bretaña por el pedido sobre el encriptado de la información

• La UE lanza un nuevo blueprint para ciberataques

• Francia quiere backdoors en aplicaciones de mensajería encriptadas

Share