Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

23>30
may

⚡TL;DR

“Todo se puede weaponizar”. Alguna vez, una fuente me ilustró con el ejemplo de un buscaminas infectado usado para robar datos financieros. Y esta semana se dio a conocer un research en el que un APT usó los invites de Google Calendar como command and control para instalar y controlar malware.

El tema circuló mucho en medios más especializados que generalistas, en parte por el componente técnico de la explicación, pero también por lo mucho que se usa el ecosistema de Google Workspace en ámbitos corporativos. Detrás de la técnica estaba APT41, que responde a los intereses de China.

En otra noticia con fuerte componente técnico, una nueva investigación demostró que se puede acortar el tiempo necesario para romper el algoritmo criptográfico de RSA, uno de los sistemas de transmisión de información más usados del mundo. Hablé con un físico experto en cuántica para entender el alcance de este tipo de noticias.

A nivel global, se detectó un nuevo APT y aparecieron más ataques a herramientas de acceso remoto, en lo que algunos analistas ya identifican como un patrón.

En el mundo de la IA, que se mueve súper rápido, una noticia me llamó bastante la atención: después de ir a juicio con OpenAI, The New York Times firmó un acuerdo para ceder sus notas al entrenamiento de un sistema de LLM de Amazon. Un caso que puede hacer (más) ruido en la golpeada industria de los medios de comunicación.

Y otro tópico que me interesa mucho tiene que ver con las situaciones que están enfrentando docentes en distintas aulas del mundo ante el avance de la inteligencia artificial: las formas tradicionales de evaluación, como el ensayo o los trabajos prácticos, están empezando a quedar obsoletas ante el enorme uso de herramientas de IA generativa que resuelven las consignas por los alumnos.

Encontré dos noticias que ponen de relieve estos problemas: por un lado, en algunas escuelas rusas están usando inhibidores de señal para los exámenes. Y, por el otro, en Estados Unidos volvieron a los “blue books”, un método manuscrito de evaluación (que, parece, muchos estadounidenses recuerdan como un trauma adolescente).

La perlita de la semana: en medio de un mundo cada vez más enshittificado, y en un contexto de desinformación y “cripto-scams”, una startup de antivirus que ya creó 52 mil notas de comunidad en X (Twitter) para advertir sobre estafas.

Y dejo una recomendación, esta vez en video: si se preguntan qué hace y cómo trabaja una fiscalía de ciberdelitos, el colega Sebastián Davidovsky hizo una entrevista súper interesante a Horacio Azzolín, fiscal general a cargo de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) que ha tomado varios casos conocidos y de impacto nacional.

En esta edición:

• 🗓 Google Calendar como C2: lo usan para infectar equipos

• 🔏 Estiman que romper el cifrado RSA llevaría menos tiempo

• 📰 New York Times hace un acuerdo de IA con Amazon después de llevar a juicio a OpenAI

• 🐻 Nuevo APT asociado a Rusia: Laundry Bear

• 📵 Papel y lápiz en EE.UU; inhibidores de señal en Rusia: medidas contra la IA

⏰ Substack dice que leer este correo completo lleva 11 minutos

Dark News #144

Cyber Summit, la conferencia líder en Ciberseguridad Industrial de Latinoamérica, llega a Buenos Aires el próximo 5 de junio en el Centro de Convenciones La Rural. Registrate haciendo clic en el banner y asegurá tu lugar en la conferencia que marcará la agenda de las industrias.

Google Calendar como C2: lo usan para infectar equipos

Un informe de Google Threat Intelligence Group (GTIG) reveló una nueva campaña en la que se utilizó una táctica innovadora: emplear Google Calendar como C2 (command and control) para distribuir malware. El actor que empleó la técnica es APT41 (también conocido como HOODOO), que responde a los intereses de China.

Un C2 es el canal que un atacante utiliza para comunicarse con un malware dentro de una red comprometida. Desde allí puede enviar instrucciones, exfiltrar datos o actualizar el malware, todo de forma remota.

Técnica novedosa. GTIG detectó en octubre de 2024 un sitio web gubernamental comprometido que alojaba un archivo ZIP infectado. A través de correos de spear phishing, APT41 enviaba links a ese archivo, que simulaba contener imágenes y un PDF con una lista de bienes para declarar en aduana.

En realidad, escondía una payload cifrada que se ejecutaba en memoria y establecía una conexión encubierta con un calendario de Google controlado por los atacantes.

Por qué importa. El caso muestra cómo los atacantes aprovechan servicios legítimos en la nube para evadir detección, mezclándose con tráfico normal. Ya antes habían usado Google Drive y Sheets para fines similares.

El uso de Google Calendar como C2 representa un salto en creatividad operativa: no solo es difícil de detectar, sino que permite persistencia y flexibilidad, además de ser una herramienta al alcance de cualquiera.

Cómo lo detuvieron. Google bloqueó los proyectos de Workspace usados por APT41, actualizó las detecciones en Safe Browsing y, junto a Mandiant, notificó a las organizaciones comprometidas. También desmontaron la infraestructura C2 identificada y compartieron indicadores de compromiso (IOCs) con la comunidad.

Antecedente. Si bien no es la primera vez que se usa esta técnica (a mediados de mes Veracode detectó un caso de weaponización de Google Calendar), sí es el primer reporte de Google sobre un caso de uso malicioso activo en una campaña.

Estiman que romper el cifrado RSA llevaría menos tiempo

Un nuevo paper de un investigador de Google Quantum AI afirma que romper el encriptado RSA con computadoras cuánticas podría requerir 20 veces menos recursos de lo que se pensaba.

Por qué importa. RSA es un sistema de cifrado que permite enviar información segura usando una clave pública para encriptar y una privada para desencriptar, y se volvió un estándar que permite establecer comunicaciones seguras en internet sin necesidad de compartir secretos de antemano.

Está considerado por la industria como uno de los más seguros y difíciles de romper del mundo. Sobre la relevancia de este protocolo, explicó a Dark News Christian Schmiegelow, doctor en Física e investigador de la UBA y el Conicet:

En ciberseguridad, en particular, hay dos cuestiones clave. La primera es que el único protocolo que realmente conocemos y que muchos años de uso probaron que es muy bueno y seguro —sobre el cual se basa prácticamente toda la infraestructura de telecomunicaciones actual— es el RSA. Ahora, si uno tuviera una computadora cuántica poderosa, podría romper las claves criptográficas del RSA. Esta idea genera un enorme revuelo en el ambiente, aunque todavía estamos lejos de tener computadoras que puedan hacerlo. Pero no deja de ser una preocupación real e importante.

Qué significa. Aunque aún no existen computadoras cuánticas tan potentes (la más avanzada, Condor de IBM, tiene poco más de 1.000 qubits físicos), la evolución es rápida. El salto en eficiencia en ataques a RSA podría anticipar avances similares contra ECC, que es la base de seguridad de las wallets y algunas transacciones cripto.

El avance. El nuevo estudio estima que una máquina con menos de un millón de qubits podría romper una clave RSA de 2048 bits en menos de una semana. En 2019, el cálculo era de 20 millones de qubits.

Complementa Schmiegelow, sobre el estado de la investigación:

Las computadoras cuánticas están todavía muy lejos de ser una realidad útil. Nadie cree racionalmente que vaya a existir una computadora cuántica capaz de romper RSA en los próximos, al menos, 30 años. Por otro lado, en lo que respecta a criptografía cuántica, ya existen dispositivos comerciales que permiten establecer comunicaciones completamente seguras mediante claves cuánticas. No diría que están muy consolidados, pero existen. Eso sí: requieren hardware específico y comúnmente de un enlace de fibra óptica especialmente dedicado para funcionar.

Advertencias. Aunque el “apocalipsis cuántico” todavía no llegó, cada nuevo paper achica la ventana de tiempo para pensar en alternativas post-cuánticas.

Muchas infraestructuras críticas (TLS, certificados, email) siguen usando RSA, lo que pone en jaque gran parte del ecosistema de seguridad sobre el que operan tecnologías clave de la actualidad.

New York Times hace un acuerdo de IA con Amazon después de llevar a juicio a OpenAI

The New York Times firmó un acuerdo con Amazon para licenciar su contenido editorial con fines de entrenamiento de inteligencia artificial. El medio mantiene una demanda abierta contra OpenAI y Microsoft por violación de derechos de autor.

Qué pasó. Ambas empresas cerraron un acuerdo que permitirá a Amazon usar contenido del diario para entrenar sus modelos de IA y potenciar productos como Alexa. La alianza incluye notas periodísticas, recetas de NYT Cooking y contenido deportivo de The Athletic.

Por qué importa. Es la primera vez que Amazon firma este tipo de acuerdos para IA generativa. Y también la primera vez que el Times acepta licenciar contenido para IA, en un quiebre respecto a su dura postura frente a OpenAI y Microsoft, a quienes acusa de usar su contenido sin permiso.

Contexto. La industria de los medios, en crisis desde hace años por la caída de ingresos publicitarios -a nivel global-, enfrenta dificultades por el uso de sus contenidos.

Mientras que el NYT decidió demandar a la empresa de Sam Altman, otras organizaciones hacen acuerdos con empresas que están liderando la inteligencia artificial generativa de textos: Associated Press con Gemini (Google); Axios con ChatGPT.

OpenAI también firmó acuerdos con The Washington Post, The Atlantic, The Guardian, NewsCorp y Axel Springer.

Los términos del acuerdo entre NYT y Amazon son desconocidos.

Nuevo APT asociado a Rusia: Laundry Bear

Los servicios de inteligencia de Países Bajos identificaron a un nuevo grupo que respondería a los intereses de Rusia: Laundry Bear, bautizado Void Blizzard por Microsoft.

Actividad. Desde al menos 2024, el grupo fue detectado robando datos de múltiples organizaciones públicas y privadas. La inteligencia holandesa confirmó que el grupo logró infiltrarse en los sistemas de la policía nacional en septiembre del año pasado y accedió a datos de contacto de su personal. También habría puesto foco en información sensible sobre producción militar y envío de armas a Ucrania.

TTP. Aunque sus métodos iniciales no son sofisticados, el grupo es efectivo. Usan credenciales robadas a través de infostealers, hacen ataques de password spraying y luego acceden a plataformas como Exchange y SharePoint Online para robar correos y archivos en la nube.

También lograron infiltrarse en conversaciones de Microsoft Teams y rastrear configuraciones de identidad en Microsoft Entra ID.

Objetivos. “Laundry Bear busca información sobre producción militar y entrega de armas por parte de gobiernos occidentales”, dijo el Ministerio de Defensa holandés.

Papel y lápiz en EE.UU.; inhibidores de señal en Rusia: medidas contra la IA

Dos noticias de esta semana demostraron las disrupciones que está causando el avance de la inteligencia artificial en el sector educativo:

• Rusia usó inhibidores de señal para impedir que los alumnos se copiaran.

• En Estados Unidos empezaron a volver a un viejo sistema de exámenes manuscritos.

“Blue Book”. Se trata de un cuadernillo de tapas azules que se utiliza en universidades y escuelas secundarias estadounidenses para exámenes escritos, sobre todo aquellos que requieren respuestas en forma de ensayos o preguntas abiertas. Suelen tener entre 4 y 12 hojas de papel rayado y están diseñados para que los estudiantes escriban sus respuestas durante el examen, a mano.

La investigación. El Wall Street Journal publicó un reportaje en el que descubrió que las ventas de estos libros aumentó durante el último año. Con datos de varias universidades públicas, el diario señala que las compras al por mayor de los cuadernillos crecieron a pasos agigantados desde el lanzamiento de ChatGPT, a finales de 2022.

Rusia, con inhibidores. Por otro lado, durante el Examen Estatal Unificado ruso (examen de ingreso universitario), se utilizaron 11.500 inhibidores de señal celular para impedir que estudiantes usen teléfonos o auriculares para copiarse.

En 2024, unos 200 estudiantes fueron expulsados del examen por usar teléfonos.

Por qué importa. Si bien esta tecnología de bloqueo se aplica de forma selectiva, según lo decida cada región, tanto el caso de Estados Unidos como el de Rusia denotan que el sistema educativo enfrenta una crisis en cuanto a sus formas de evaluación tradicionales y que el uso de la IA no sólo afecta a los trabajos white-collar, sino también a la formación desde temprana edad.

🔓 Breaches y hacks

• Adidas confirma un data breach

• NordVPN publica un informe donde detectan 93 mil millones de cookies en la dark web

• Venden datos del Poder Judicial de Catamarca

🔒 Ransomware

• Un miembro de Robbinhood ransomware se declara culpable

• DragonForce encadena tres vulnerabilidades en un ataque

• Grupos menos conocidos usan el hype de la IA para atraer víctimas

💣 Exploits y malware

• Dan de baja 350 paquetes npm maliciosos

• Una botnet hackea routers ASUS

• ConnectWise confirma que un APT explota una falla

🔍 Threat intel y vulnerabilidades

• República Checa apunta a hackers patrocinados por China

• Safari de Apple expone a usuarios a ataques BitM

• Reportes: Red Canary, Dragos, Forescout, BforeAI.

🛠️ Tools y updates

• Apple frenó 9 mil millones de transacciones fraudulentas durante los últimos 5 años

• Okta lanza un catálogo de queries para ayudar a detectar actores de amenazas

• Microsoft lanza una nueva herramienta de backup para business

📋 Privacidad y regulaciones

• Vietnam ordena bloquear Telegram de manera completa

• Texas prohíbe las redes sociales para menores de edad

• Cinco bancos piden dejar de informar incidentes a la SEC en EE.UU. (ABA, BPI, ICBA, IIB, SIFMA)

Share