Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

16>23
may

⚡TL;DR

El tema de apertura salió en tándem con Clarín. A partir de un informe que compara estrategias de Ciberseguridad en América Latina, investigué qué está pasando entre la Agencia Federal de Ciberseguridad, creada por el presidente Javier Milei el año pasado, y otras entidades que ya existían, como CERT.ar y la Dirección Nacional de Ciberseguridad (DNC).

Por la extensión, presento una versión resumida en esta entrega de Dark News. Hay fuentes identificadas pero, por la naturaleza del tema, hay más off the record del que me gustaría.

Un tema que tuvo impacto nacional fue el video deepfake difundido en X (Twitter) del expresidente Mauricio Macri que pudo haber influido en las elecciones de la Ciudad de Buenos Aires. Justo esta semana leí un reporte sobre cómo organizaciones terroristas sancionadas por EE.UU. promocionan sus tuits en esta plataforma, sin penalizaciones.

En el ámbito de las filtraciones, luego de que aparecieran datos internos del Ejército a la venta la semana pasada en Argentina, ahora se subió información de la infraestructura de una penitenciaría.

En el mundo de los reportes apareció un relevamiento sobre la gran cantidad de sitios-copia de Breach Forums que fueron proliferando desde que el mercado negro fue dado de baja (ver). Es raro decirlo, pero quizás era mejor cuando había una referencia única en el mundo de las filtraciones y compraventa de datos. Y el robo cripto de la semana vino con arresto y sentencia a 12 sospechosos de llevarse 263 millones de dólares.

Otro tema que encontré que me pareció relevante es que, según una investigación académica, un 25% de los controles industriales (ICS) expuestos en internet son honeypots. En dos semanas hay un summit de ciberseguridad industrial en Buenos Aires con charlas sobre estos temas, por cierto.

Por último, esto me pareció interesante: un estudio de Gran Bretaña advierte que más de la mitad de los jóvenes preferirían un mundo sin internet. Si pienso en mi trabajo, no sé si era mejor trabajar sin conectividad, en redacciones donde para publicar una foto había que llevarla al diario físicamente (o mandarla por correo), plotearla, editarla e imprimirla. O pasar información por teléfono de línea mientras un redactor escribía la nota.

Pero hay un punto interesante en ver que ya hay una generación que tiene rechazo por el mundo de las redes sociales y la conectividad permanente, algo que, si bien vino con claros beneficios, creo que también empieza a generar serios problemas de pereza cognitiva.

Un tema al cual en algún momento le voy a dedicar una entrada completa.

En esta edición:

• 🥷 Hackeos al Estado: avances, críticas y qué dicen en la Agencia Federal de Ciberseguridad sobre la estrategia nacional

• 🗳 Publican un video deepfake de Macri durante las elecciones porteñas

• 🔑 Lumma Stealer: operativo da de baja dominios pero sigue activo

• 🗾 Japón sienta un precedente con una ley de ciberdefensa ofensiva

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #143

BSides Córdoba es una conferencia gratuita sobre ciberseguridad, parte de la red global BSides. Se realizará el 30 de mayo de 2025 en la UTN – Facultad Regional Córdoba, Argentina. Reúne a profesionales, estudiantes e interesados en seguridad informática, con charlas técnicas de alto nivel y un enfoque en el intercambio de conocimiento. Inscripción, en este enlace.

Hackeos al Estado: avances, críticas y qué dicen en la Agencia Federal de Ciberseguridad sobre la estrategia nacional

Un informe de Derechos Digitales compara las distintas políticas de ciberseguridad en América Latina y destaca que en Argentina “las estrategias están bien definidas, pero enfrentan desafíos en su implementación debido a la falta de recursos técnicos y humanos”.

Además, se presentan dudas respecto de un decreto de Presidencia introducido el mes pasado en el que se le da más poder a la Agencia Federal de Ciberseguridad (AFC), entidad creada dentro de la órbita de la Secretaría de Inteligencia de Estado (SIDE) en julio de 2024.

Qué dice el informe. El análisis del caso argentino gira en torno a la así llamada Segunda Estrategia de Ciberseguridad, aprobada en septiembre de 2023. “El cambio recientemente introducido por el Decreto 274/2025, que modifica la gobernanza cyber tras la creación de la AFC, genera incertidumbre sobre la continuidad del enfoque de derechos en la implementación de la estrategia por parte de esta entidad”, dijo a Dark News Juan Carlos Lara, codirector ejecutivo de la ONG y autor del estudio.

La estrategia. Más allá de la nueva agencia, Argentina ya contaba con dos entidades que forman parte de la estructura que protege los activos digitales del Estado: el CERT.ar, que es el equipo de respuesta a incidentes y monitoreo de vulnerabilidades, y la Dirección Nacional de Ciberseguridad (DNC), que coordina y diseña la estrategia de ciberseguridad para todo el territorio.

Qué dicen en la AFC. En el entorno de la Agencia Federal de Ciberseguridad, dijeron a Dark News:

Entendemos que falta mucho por hacer. Que necesitamos invertir recursos para mejorar la resiliencia de la infraestructura crítica del Estado, y mejorar la ciberseguridad que afecta al país en general. Por otro lado, el CERT.ar no estaba respondiendo a incidentes (se enteraban de muy pocos de los eventos relevantes, rara vez ayudaban a recuperar y no investigan); el Comité de Ciberseguridad no se reunió en 2024 -y pocas veces antes-, y hubo una carencia de inversión que redundó en que no tenemos un mapeo de infraestructura crítica y no hay actividades a nivel nacional de concientización

El señalamiento del informe de Derechos Digitales sobre la falta de “recursos técnicos y humanos” lo confirman en la Agencia:

Lamentablemente el año pasado comenzamos con un presupuesto casi nulo. El Gobierno anterior había bajado el presupuesto de SIDE de su valor histórico a un 25-30%, y eso sin contemplar las nuevas funciones de ciberseguridad asignadas a la AFC. Tuvimos menos presupuesto que un banco chico para asegurar al país. No compramos firewalls o switches con tan poca plata. Este año creció un poco, aún así es ínfimo comparado con lo que gasta -por ejemplo- una multinacional.

Otras fuentes del mundo de la ciberseguridad estatal aseguraron a este medio que “al principio no cayó bien la decisión de darle más preponderancia a la AFC por sobre la DNC”, porque la AFC “le copia muchas funciones” a la dirección. Sin embargo, también reconocen la formación dentro de la agencia: “La gente que está trabajando en el área, en particular dos personas, tienen mucha capacidad técnica”, aseguraron en el entorno.

Críticas. El pasado 16 de abril, la AFC, una novedad para nuestro país, pasó a tener más peso y esto no ocurrió sin críticas del ambiente. “Argentina ha dado un paso a contramano o más bien fuera de época designando a la AFC de la SIDE como órgano rector en prevención y seguridad del ciberespacio, y quitándole la mayoría de las funciones a la dirección nacional de Jefatura de Gabinete (Decreto 274/2025)”, explica a este medio Marcela Pallero, especialista en regulación en ciberseguridad en el sector público.

Presupuesto. La ciberseguridad en el Estado enfrenta los mismos problemas de la gestión pública en Argentina: poco presupuesto, o mal utilizado. Dice a este medio Arturo Busleiman, especialista de Buanzo Consulting.

Los últimos 27 años me dediqué a lo que hoy se llama ciberseguridad, de los cuales 15 fueron en el Estado. Hay un cuerpo técnico muy capaz, pero sin los recursos materiales, humanos ni políticos que se necesita. Se destinan partidas a licencias de soluciones ‘caja negra’ que prometen mucho, pero requieren certificaciones y tiempo que el personal estatal no puede afrontar.

Cooperación. Lara, de Derechos Digitales, remarca la importancia del trabajo conjunto:

Creemos que la cooperación regional en ciberseguridad debe avanzar no sólo en términos técnicos, sino también en asegurar un enfoque basado en derechos. Esto implica mecanismos de intercambio de capacidades y asistencia mutua, pero también principios comunes que garanticen la protección de la privacidad, la libertad de expresión y la inclusión digital.

En este sentido, cierra Pallero:

Será interesante observar los resultados de este experimento, considerando que la naturaleza reservada con la que opera la SIDE resulta difícil de conciliar con los principios de confianza digital promovidos por organismos internacionales como la OCDE o la CEPAL y del mundo en general, sobre todo para las cuestiones internas urgentes de la seguridad digital.

El desafío parece quedar del lado de la transparencia de la AFC y cuál será su vínculo con las otras dos entidades que ya existían, CERT.ar y DNC, con el interrogante de si es posible un trabajo cooperativo o si serán un rompecabezas donde sus piezas son siglas que no encajan entre sí.

[Una versión más larga de este tema se puede leer en Clarín, en este enlace]

Publican un video deepfake de Macri durante las elecciones porteñas

Un video deepfake en el que el expresidente argentino Mauricio Macri anunciaba la supuesta baja de una candidata de su partido histórico (PRO), Silvia Lospennato, se viralizó el domingo pasado durante las elecciones legislativas de la Ciudad de Buenos Aires.

En el video, el “Mauricio Macri generado con IA” decía que la boleta de Lospennato se iba a seguir viendo en la máquina electoral, “por cuestiones técnicas y de tiempo”, pero llamaba a votar por Manuel Adorni, candidato de La Libertad Avanza (oficialismo).

Defensa oficial. El video fue acompañado de tuits de cuentas identificadas en redes sociales como “trolls” de La Libertad Avanza, con apoyos a lo que decía el video: “Esto se llama grandeza, señores”, tuiteó una conocida cuenta que apoya al presidente, Javier Milei.

El presidente Milei defendió la difusión del video y dijo que está amparado por la libertad de expresión: “No hay que perseguir en redes”.

Denuncia. El fiscal penal Maximiliano Vence le demandó a X (Twitter) que elimine “de forma inmediata el video” “que fue generado mediante el uso de herramientas de IA, y que contiene información falsa con impacto directo en el proceso electoral que se desarrolla (…) vulnerando la normativa vigente y el derecho de los ciudadanos a emitir un voto informado”.

Los videos siguen online en X hasta el momento de la publicación de esta entrega.

Chequeado publicó un buen repaso de la situación actual del caso.

Lumma Stealer: operativo da de baja dominios pero sigue activo

El FBI, Europol y otras fuerzas llevaron adelante un operativo en contra de LummaC2, uno de los infostealers más populares del mercado. Incautaron 2.300 dominios que operaban como command and control (C2) de la estructura de malware.

Por qué importa. Lumma se convirtió en uno de los stealers más usados del mundo por la facilidad de su acceso. Al contratar el servicio, el atacante cuenta con un sistema point and clic y un panel de control personalizado muy simples de usar.

Lumma Stealer. Activo desde finales de 2022, se estima que se ha utilizado en al menos 1.7 millones de casos para robar información, como datos del navegador e información de auto-fill de contraseñas. La Oficina Federal de Investigación de Estados Unidos (FBI) ha atribuido alrededor de 10 millones de infecciones a Lumma.

Estado actual. Aunque varios análisis y medios de comunicación hablaron de una “disrupción”, especialistas dudan de que sea el final de Lumma.

Dark News contactó a g0njxa, investigador en ciberseguridad, que matizó la idea de “desmantelamiento” de Lumma:

El impacto mediático que se ha observado por parte de compañías privadas y agencias de ley y orden no se corresponden con el impacto generado sobre la infraestructura de Lumma Stealer ni, en gran medida, sobre las operaciones de malware de sus clientes. A pesar de que se anunció la incautación de algunos paneles de registros de Lumma así como dominios relacionados con su actividad, al parecer esto no ha sido suficiente para frenar la actividad de este malware (como lo que sucedió con Redline y Meta), debido a la naturaleza de Lumma.

En este sentido, contó que el malware sigue funcionando, a pesar de la baja de más de 2 mil dominios asociados:

Se observó que el malware podía continuar funcionando, que clientes de Lumma pudieron continuar sus campañas de malware sin importar las acciones realizadas y sin mayores problemas. A los clientes que fueron afectados, se les ofreció una alternativa de forma rápida en las horas siguientes.

Japón sienta un precedente con una ley de ciberdefensa ofensiva

Japón promulgó una nueva ley de ciberdefensa que permite a las autoridades realizar operaciones ofensivas para neutralizar amenazas antes de que generen daños.

Por qué importa. La ley marca una transición hacia una postura más proactiva en ciberseguridad, con el objetivo de alcanzar el nivel de capacidades de países como EE.UU. y las principales potencias europeas. Permitirá a las fuerzas de seguridad infiltrar y desactivar servidores hostiles incluso antes de que ocurra un ataque.

Qué permite la nueva ley. Ataques cibernéticos ofensivos sin necesidad de que exista una agresión armada previa, análisis del tráfico de internet extranjero que entra o transita por Japón (sin inspeccionar contenido) y la creación de un panel independiente que deberá aprobar toda operación ofensiva o de recolección de datos.

Tensión. Hay preocupación por posibles conflictos con el artículo 21, que protege la privacidad de las comunicaciones. El gobierno afirma que la medida apunta exclusivamente a amenazas extranjeras y no implica monitoreo del tráfico interno.

🔓 Breaches y hacks

• La red de un hospital ruso se cae por un ciberataque atribuido a Ucrania

• El ISP Cellcom de EE.UU. sufre un ataque

• El sitio de Brian Krebs sufre un record de ataques DDos: 6.3 Tbps

🔒 Ransomware

• Una importante empresa de logística británica sufre un ransomware

• La empresa alimenticia Arla Foods, afectada por un ransomware

• Filtran el código fuente del ransomware VanHelsing

💣 Exploits y malware

• Reportan múltiples fallas en la aplicación de WolksVagen

• Extensiones de Chrome imitan a Fortinet y YouTube para robar datos

• Encuentran ocho librerías npm con código malicioso

🔍 Threat intel y vulnerabilidades

• Publican una lista de 100 extensiones maliciosas en Chrome

• Hannibal Stealer: reporte técnico (ex Sharp Stealer)

• Reportes: Crowdstrike, ESET, Varonis, ReasonLabs, Arctic Wolf, Trustwave.

🛠️ Tools y updates

• Un error en BitLocker deja en un loop a usuarios de Windows

• Microsoft confirma la función “administrator protection”

• Signal bloquea capturas de pantallas en Windows 11 para prevenir el registro de Recall

📋 Privacidad y regulaciones

• Países Bajos tiene nuevas sanciones contra el ciberespionaje

• Sony bloquea cuentas de Playstation en Rusia

• Un senador de EE.UU. pide dar de baja podcasts fake de Spotify

Share