Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

2>9
may

⚡TL;DR

Luego de varias semanas de volar bajo en el radar de los medios, el ransomware volvió al centro de las noticias: el tema más grande de la semana fue el hackeo de LockBit, quizás uno de los grupos cibercriminales más grandes de la escena.

Si bien el grupo quedó lastimado luego de la interrupción de sus operaciones por una acción conjunta del FBI en febrero del año pasado (ver), a la que le sucedieron una serie de internas, a fines de 2024 relanzó sus operaciones y sitio en la dark web (versión 4.0). Y esta semana ocurrió lo que ningún actor quiere que ocurra: LockBit fue hackeado, le filtraron información interna y hasta le hicieron un defacement.

Más allá de este “ransomware drama”, el investigador

En el plano regional, Perú salió a desmentir un ataque de ransomware de Rhysida, la banda de ransomware que realizó uno de los ataques más dañinos contra una dependencia pública en Argentina (PAMI).

A nivel local, el colega Mariano Vidal publicó un reportaje sobre una banda que robaba dinero de cuentas usando el conocido malware bancario Mekotio: “Los troyanos bancarios son la amenaza más prevalente de la región”, me dijo una fuente técnica, al hablar del caso.

Por otro lado, Microsoft anunció un cambio importante en la creación de cuentas nuevas: se trata de uno de los principales jugadores en el mundo corporativo, y el paso hacia adelante que van a dar es que sean passwordless por default (con passkeys).

En la industria de los vendors, una noticia hizo ruido: Crowdstrike, una de las empresas más relevantes del mundo de la ciberseguridad, anunció que despedirá el 5% de su fuerza de trabajo, alrededor de 500 puestos.

Y en el mundo de la IA, comenzaron a aparecer reportes que señalan que los nuevos modelos alucinan más que los anteriores.

Por supuesto, hubo un nuevo capítulo de IA enshittification: Apple analiza terminar su acuerdo con Google -ese que cuesta 20.000 millones de dólares- para introducir búsquedas por inteligencia artificial en Safari.

O quizás sea un buen termómetro del hábito de una gran parte de usuarios que ya abandonó Google para buscar en chatbots y tener todo (aún más) digerido.

En esta edición:

• 🔒 Microsoft empuja las passkeys: hacia un inicio de sesión passwordless

• 🥷 LockBit, hackeado y filtrado: el grupo de ransomware sufre un ciberataque

• 💳 Cayó una banda que vaciaba cuentas bancarias y las pasaba a cripto

• 💻 El Gobierno de Perú niega un ciberataque

• 💰 Espionaje en WhatsApp: NSO tiene que pagar 167 millones por una campaña de spyware

• 📱 Hackean TeleMessage, “el clon de Signal” que usa la gestión Trump

• 👩‍⚖️ Bélgica y Nueva Zelanda: proponen prohibir las redes sociales para menores de 16

⏰ Substack dice que leer este correo completo lleva 11 minutos

Dark News #140

Microsoft empuja las passkeys: hacia un inicio de sesión passwordless

Las nuevas cuentas de Microsoft no tendrán que usar una contraseña para iniciar sesión: serán passwordless por default. El nuevo sistema pedirá al usuario que use claves biométricas o PIN local, más resistentes al phishing y al robo de contraseñas con infostealers.

Una passkey es una credencial digital que permite iniciar sesión sin contraseña a través de biometría (cara, huella, ojo) o un PIN, como Face ID en iPhone o Windows Hello en PC.

Por qué importa. Microsoft, como una de las empresas tecnológicas más grandes del mundo, tiene una fuerte presencia en el entorno corporativo.

Más de 3,7 millones de empresas utilizan Microsoft 365 a nivel global, con 321 millones de usuarios activos que usan el servicio. Teams, la plataforma de chat colaborativo, es usada por 320 millones de usuarios en ámbitos laborales.

El abandono de contraseñas para cuentas nuevas es un paso hacia adelante para combatir el account takeover por phishing.

Qué cambia. Según el posteo de Microsoft, desde ahora, cada vez que se cree una cuenta nueva:

1. Hay un nuevo entorno de sign-in simplificado que prioriza el método sin contraseña

2. Las cuentas son passwordless por default: no piden crear una clave

3. Se detecta automáticamente el mejor método posible para loguearse (por ejemplo, con un OTP que luego solicita registrar una passkey)

Contexto. El jueves de la semana pasada fue el “Día mundial de la Contraseña” (ver) y Microsoft aprovechó para reforzar el Passkey Pledge, un compromiso de migrar hacia este sistema que ya tomaron empresas como Google, Apple, Amazon, 1Password, Dashlane, GitHub y TikTok.

LockBit, hackeado y filtrado: el grupo de ransomware sufre un ciberataque

LockBit, un grupo de ransomware histórico, sufrió una filtración de su propio panel de afiliados en la dark web. El hackeo apuntó a la versión 4 del portal del grupo, lanzado a fines del año pasado.

Los sitios fueron defaceados con el mensaje «Don't do crime, CRIME IS BAD xoxo from Prague», junto con un enlace a un archivo .zip que contiene un dump de la base de datos MySQL del grupo.

Contexto. En Twitter se desataron una serie de idas y vueltas en torno a diversos usuarios, incluido LockbitSupp, administrador histórico. Pero se desconoce quién está detrás del ataque.

Qué filtraron. La base filtrada incluye 20 tablas con información clave sobre la operación, 59.975 direcciones de bitcoin, datos de builds -versión- de ataques y un registro de 4.442 mensajes de negociaciones entre operadores de LockBit y víctimas.

También hay una tabla de usuarios con 75 afiliados y administradores, cuyas contraseñas estaban guardadas en texto plano.

Por qué importa. Si bien en el leak no hay llaves privadas, se expone la organización interna del grupo, las tácticas de extorsión y la identidad digital de sus miembros. Se suma a la lista de grupos que fueron hackeados, como ya pasó con Conti, Black Basta y Everest.

Cayó una banda que vaciaba cuentas bancarias y las pasaba a cripto

Un operativo entre fuerzas de Ciudad y Provincia de Buenos Aires desbarató a una organización acusada de realizar ciberataques dirigidos a PyMEs mediante el popular troyano bancario Mekotio.

Cómo operaban. A través de un esquema descentralizado, el grupo cibercriminal usaba Mekotio, popular virus desarrollado en Brasil, con mulas de Argentina, Perú y Venezuela. El dinero robado pasaba por cuentas bancarias y billeteras virtuales, y terminaba convertido en cripto a través de la red Tron.

Los fiscales describen el modelo como una “subcontratación del crimen”, donde cada actor cumplía un rol específico. La investigación comenzó tras el ataque a un frigorífico en 2024.

Dato clave. Uno de los allanamientos más importantes fue en la casa de cambio “Dólar Belgrano”, donde se lavaban los fondos cripto robados. El lugar estaba a cargo de un ruso experto en criptomonedas. Al momento del operativo, intentó destruir su teléfono Xiaomi y se resistió al arresto, pero fue reducido por cinco oficiales que lograron forzarlo a desbloquear el dispositivo con su huella.

El Gobierno de Perú niega un ciberataque

El sitio web del Gobierno de Perú (gob.pe) apareció listado como víctima en el sitio del grupo de ransomware Rhysida. El acceso al sitio web se vio limitado, pero ya se encuentra online nuevamente.

Qué pasó. A fines de la semana pasada, Dark Web Informer reportó el ciberataque, por el cual se exige un rescate de 5 bitcoins (casi 500 mil dólares). Circularon en redes sociales capturas de archivos que habrían sido robados, incluyendo comunicaciones internas de distintos organismos públicos.

Respuesta oficial. A pesar de esto, el Gobierno no reconoció oficialmente ningún incidente de seguridad. En declaraciones a Infobae Perú, César Vílchez, secretario de Gobierno Digital, negó cualquier caída reciente del sitio oficial y aclaró que gob.pe (sin “www”) pertenece a otra entidad, la Red Científica Peruana. También aseguró que la infraestructura de www.gob.pe cuenta con “respaldo diario y alta disponibilidad”.

Un comunicado de la Presidencia del Consejo de Ministros (PCM) informó que la Mesa de Partes Digital estaría fuera de servicio durante el domingo 4 de abril por mantenimiento, sin mencionar ataques ni filtraciones.

Espionaje en WhatsApp: NSO tiene que pagar 167 millones por una campaña de spyware

Luego de cinco años de batalla judicial, un jurado de EE.UU. falló en contra de NSO Group, empresa israelí fabricante del spyware Pegasus, por su campaña de espionaje contra 1.400 usuarios de WhatsApp en 2019. Deberá pagar 167 millones de dólares en compensaciones.

Por qué importa. Es la primera victoria judicial contra un fabricante de spyware. WhatsApp (Meta) acusó a NSO de explotar una vulnerabilidad en llamadas de voz para instalar malware en los dispositivos de periodistas, activistas y disidentes. La justicia confirmó que NSO violó leyes federales de hacking de California y los términos de uso del servicio.

Contrataque. NSO analiza apelar, aunque en la industria se habla de un daño reputacional alto. Will Cathcart, jefe de WhatsApp, aseguró que esta demanda buscó “poner en alerta a empresas tecnológicas y gobiernos sobre el abuso de herramientas de vigilancia”.

El fallo es relevante porque sienta un precedente legal para frenar el uso comercial de spyware contra plataformas digitales y sus usuarios.

Hackean TeleMessage, “el clon de Signal” que usa la gestión Trump

Un atacante hackeó TeleMessage, una empresa israelí que vende versiones modificadas de Signal y otras apps de mensajería al Gobierno de Estados Unidos, según reveló 404 Media.

El hacker no entregó los registros de chat de la Casa Blanca, pero demostró que tenía acceso al compartir una lista de empleados de Coinbase que utilizaban TeleMessage.

Por qué importa. La aplicación estuvo en la agenda mediática luego de que el exasesor de seguridad nacional de Trump Mike Waltz revelara accidentalmente que utilizó la herramienta en una reunión de gabinete con el presidente Trump.

El incidente pone en evidencia la tensión entre el uso de apps cifradas para preservar la privacidad y la obligación de archivar comunicaciones oficiales, luego del Signal-gate (ver).

Filtración. Además, en el hackeo se lograron robar datos de clientes, entre lo que se encuentra el contenido de algunos mensajes directos y chats de grupo, así como versiones modificadas de WhatsApp, Telegram y WeChat.

Aunque TeleMessage promete cumplir con ambas funciones —cifrado y respaldo para compliance—, su infraestructura ahora quedó comprometida. Varios organismos federales pausaron su uso como medida de precaución.

Signal. La aplicación difundió una declaración oficial como respuesta al caso:

No podemos garantizar la privacidad o seguridad de versiones no oficiales de Signal

Segundo hackeo. NBC reportó un segundo hackeo a TeleMessage, después del reporte de 404 Media.

Bélgica y Nueva Zelanda: proponen prohibir las redes sociales para menores de 16

Bélgica Nueva Zelanda intensifican los esfuerzos por regular el acceso de niños y adolescentes a las redes sociales: en Flandes (Bélgica), 17 organizaciones médicas y científicas —entre ellas pediatras, psicólogos y neurólogos— firmaron una carta abierta al gobierno para reclamar prohibir el acceso a redes antes de los 16 años, entre otras medidas.

En paralelo, en Nueva Zelanda, el primer ministro Christopher Luxon respaldó un proyecto de ley que busca lo mismo: que las plataformas verifiquen la edad de los usuarios y bloqueen a menores de 16.

Por qué importa. Ambas iniciativas responden a una creciente preocupación por los efectos del uso excesivo de pantallas: déficit de atención, problemas de sueño, lenguaje, alimentación, imagen corporal y desarrollo emocional. En Bélgica, el grupo impulsor sostiene que la alfabetización digital ya no alcanza y que es momento de aplicar medidas políticas firmes.

En ambos países, el foco está puesto en que las plataformas verifiquen edades y se hagan responsables de los menores en sus sistemas.

🔓 Breaches y hacks

• Denuncian múltiples ataques DDoS contra Reino Unido

• Hackean a la empresa de telecomunicaciones más grande de Sudáfrica, Cell C

• Un fabricante de equipos médicos advierte sobre un hackeo a sus dispositivos

🔒 Ransomware

• DragonForce confirma el ataque contra los retailers ingleses Marks & Spencer, Co-Op, y Harrods

• Nueva operación de ransomware: Gunra

• Un grupo alemán de cervezas confirma un ransomware

💣 Exploits y malware

• Descubren 117 nuevos paquetes NPM maliciosos

• El grupo criminal detrás del troyano bancario Lampion vuelve a estar activo

• Rapid7 descubre un zero day en servers SonicWall SMA SSL VPN

🔍 Threat intel y vulnerabilidades

• StealC, reporte sobre un stealer activo desde enero de 2023

• CISA actualiza la lista de KEV

• Reportes: Amazon, Coveware, Fortinet, Check Point, FIDO Alliance, Forescout, Kaspersky

🛠️ Tools y updates

• Google lanza las actualizaciones de seguridad de mayo para Android

• Solana parchea un bug en su blockchain que permitía mintear tokens infinitos

• Telegram lanza soporte para llamadas grupales seguras

📋 Privacidad y regulaciones

• Irlanda multa a TikTok por transferir datos de usuarios a China

• Avanza la acción colectiva contra Delta Airlines por un hackeo

• WhatsApp lanza “Private Processing”

Share