Microsoft rompió el récord de vulnerabilidades: la velocidad de la IA impacta en empresas y usuarios
Es el Patch Tuesday más grande de la historia. Además: caen dos miembros de Scattered Spider, CrashStealer para macOS y un hacker revela que Suno usó millones de canciones de YouTube y Deezer.
Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
10~17
jul
⚡TL;DR
Semana cargadísima de noticias. Hay mucho técnico y mucho debate con impacto político-cultural.
Microsoft rompió un récord esta semana: parcheó más de 600 vulnerabilidades en Windows, Office, Edge y más, cuando el volumen habitual venía entre 100 y 200 por mes. Esto es un síntoma de algo que está pasando en el mundo del software y la tecnología en general. Todo se mueve, ya, a velocidad máquina. A velocidad IA.
Vale decir, el problema ya existía antes de todo este ecosistema de los LLM: que haya más CVEs (vulnerabilidades) no significa que haya más problemas de seguridad. Significa que el código crece. Y la gran pregunta, hoy, es cómo crece. Si un agente de IA se comporta como un product manager, que define qué hacer y cómo hacerlo, el resultado es una multiplicación exponencial de código. Y esto trae también más problemas. Algunos ya hablan de las “Patch Wars”.
El impacto de todo esto va para los dos lados del mostrador. En el userland, tengo un compañero en el diario que se queja del tiempo que demoran las actualizaciones de Windows. Pobre, no sabe la que le espera. Por el lado de la industria, esto cambia la forma de trabajo de quienes hacen seguridad y threat intel. Hablé con Nico Waisman (XBOW) para entender un poco ese costado.
En el mundo del ransomware, cayeron dos miembros de Scattered Spider, uno de los grupos de hackers (ingeniería social) más prolíficos de estos últimos años. Son dos jóvenes británicos que pusieron en aprietos a más de un gigante del mundo empresarial (MGM y Caesars Entertainment, por ejemplo). Streamearon un ataque y los agarraron (sí, pasó eso).
Y The Gentlemen publicó en su sitio en la dark web (DLS) apenas un .txt con una dirección de Tox para que Mercado Libre los contacte por un presunto hackeo. Suena a más ruido que robo real de información de la empresa.
Destaco también un nuevo malware para macOS y dos temas del mundo IA-hacking. De tanto en tanto, un juicio entre Big Tech logra llamar la atención de los medios. TechCrunch recopiló las acusaciones más llamativas del juicio Apple vs. OpenAI. Sinteticé un resumen abajo porque es de los casos más interesantes del momento.
Y un hacker se dio cuenta de que Suno, el ChatGPT de la música, usó millones de canciones de YouTube y Deezer como fuente.
Para cerrar, la perlita de la semana: para sorpresa de nadie, casi la mitad del contenido de Linkedin está escrito con IA. Y Linus Torvalds habló sobre qué piensa de la inteligencia artificial: “Fork It or Walk Away”. Buen juego de palabras.
Vale la pena leer el mail entero de Torvalds.
En esta edición:
🩹 Microsoft publicó el Patch Tuesday más grande de su historia y corrigió dos fallas ya explotadas
🕷️ Caen dos miembros de Scattered Spider, uno de los grupos de ingeniería social más grandes de la escena
🎵 Un hacker descubrió que Suno extrajo millones de canciones de YouTube, Deezer y otras plataformas
🍏 Apple: “El negocio de OpenAI está podrido hasta la médula”
⏰ Substack dice que leer este correo completo lleva 13 minutos
Dark News #211
Microsoft publicó el Patch Tuesday más grande de su historia y corrigió dos fallas ya explotadas
Microsoft publicó un Patch Tuesday récord, con correcciones para 622 vulnerabilidades propias, más del triple que el máximo anterior. Dos fallas ya están siendo explotadas y afectan componentes centrales de identidad y colaboración empresarial.
Qué pasó. Las vulnerabilidades activas son CVE-2026-56164, en SharePoint Server instalado localmente, y CVE-2026-56155, en Active Directory Federation Services. Ambas permiten elevar privilegios y deben priorizarse por encima de otras fallas con puntajes más altos.
SharePoint. CVE-2026-56164 permite que un atacante sin autenticar escale privilegios de forma remota, sin credenciales ni interacción del usuario. Fue detectada por equipos de respuesta de Mandiant y Google FLARE durante investigaciones de incidentes, aunque Microsoft no explicó quién la explotó ni cómo.
El riesgo en AD FS. CVE-2026-56155 permite que un atacante ya autenticado eleve privilegios localmente mediante controles de acceso débiles. Fue descubierta por DART, el equipo interno de respuesta a incidentes de Microsoft.
Aceleración ofensiva. Dark News contactó a Nico Waisman, CISO de XBOW, empresa de pentesting con IA:
Lo de Microsoft es una señal más de algo que ya venimos viendo: los modelos están acelerando tanto el descubrimiento de vulnerabilidades como el tiempo entre encontrarlas y explotarlas. Google, por ejemplo, ya había modificado los valores y requisitos de su programa de Bug Bounty ante la cantidad de fallas detectadas con modelos de alto rendimiento. Eso es lo preocupante, porque CVEs hubo toda la vida, pero quizás los atacantes se focalizaban solamente en los que tenían más retorno de inversión. Antes, un atacante podía pasar semanas o meses desarrollando un exploit y debía elegir dónde poner sus recursos.
Para Waisman, la IA funciona hoy como un multiplicador:
Con IA, eso escala: la limitación pasa menos por el tiempo humano y más por el costo de inferencia. Alguien con presupuesto puede producir exploits a escala. Además, las vulnerabilidades que Microsoft publica hoy probablemente fueron encontradas varios meses atrás por sus ciclos de lanzamiento.
El desafío defensivo. En cuanto a cómo contrarrestar esto hoy, dijo Waisman:
Las empresas deberían preguntarse cuán preparadas están para una etapa de caos en la que la seguridad ofensiva avanza más rápido que la defensiva. Parchear dejó de ser una solución estratégica por sí sola: antes había cierto margen entre la publicación de una vulnerabilidad y el momento en que los atacantes podían explotarla, pero eso cambió. La velocidad de la IA reduce esa ventana y obliga a asumir que cualquier sistema expuesto puede ser atacado con rapidez. La respuesta exige múltiples capas de protección en la red y el software, para contener el impacto incluso cuando el parche todavía no está disponible o no pudo aplicarse.
El número. Windows concentra 416 de las 622 vulnerabilidades corregidas. ZDI contabilizó además 95 fallas de ejecución remota de código en todo el paquete, una cifra inusual para julio, históricamente uno de los meses más livianos del calendario de Microsoft.
Más updates. Microsoft avisó que se puede esperar un volumen más grande de actualizaciones de seguridad. La lista de lo más importante:
CrashStealer, nuevo malware para macOS
CrashStealer, un nuevo malware para macOS, usa una aplicación firmada y certificada por Apple para eludir Gatekeeper (seguridad del OS) y robar contraseñas, credenciales y wallets de criptomonedas.
Qué pasó. Jamf Threat Labs detectó el malware en mayo y confirmó ataques activos a comienzos de julio. Se distribuye mediante “Werkbit Setup”, una imagen de disco que contiene una aplicación con un Developer ID válido y una certificación de Apple. Por eso, macOS permite su primera ejecución sin mostrar advertencias.
Cómo opera. El instalador descarga CrashReporter.app, que imita el sistema de reportes de fallas de Apple. Luego pide acceso completo al disco y muestra una ventana nativa para solicitar la contraseña del usuario. Si es correcta, la usa para desbloquear el keychain de macOS.
Qué roba. CrashStealer apunta a navegadores basados en Chromium, Firefox, unos 80 complementos de billeteras cripto y 14 gestores de contraseñas, entre ellos 1Password, Bitwarden, LastPass y KeePassXC. También busca archivos en Documentos y Descargas.
Caen dos miembros de Scattered Spider, uno de los grupos de ingeniería social más grandes de la escena
Dos hackers del Reino Unido, miembros del grupo Scattered Spider, fueron condenados a cinco años y medio de prisión por el ataque que paralizó parte de Transport for London (TfL) en 2024 y expuso datos de millones de pasajeros.
Quiénes son. Owen Flowers, de 18 años y oriundo de Walsall, y Thalha Jubair, de 20 y residente del este de Londres, admitieron el ataque.
Víctimas. Entre las más conocidas, atacaron a MGM Resorts y Caesars Entertainment, Harrods, Twilio, Riot Games, Reddit y Coinbase.
Qué pasó. En el caso por el que los arrestaron, los atacantes engañaron a un operador de soporte telefónico para que restableciera la contraseña de un empleado al que estaban suplantando. Iniciaron la intrusión un sábado para reducir las posibilidades de ser detectados y transmitieron online las 16 horas del ataque.
El impacto. Robaron una base con datos de hasta 10 millones de clientes, buscaron información de celebridades londinenses e intentaron acceder a datos bancarios. La filtración todavía circula en grupos criminales.
Los antecedentes. Flowers ya había recibido una orden de cese por delitos informáticos y fue detenido mientras atacaba a dos prestadores de salud de Estados Unidos. La policía le incautó criptomonedas por cerca de un millón de libras.
Jubair comenzó a relacionarse con criminales a los 13 años, tiene 22 condenas previas y ya había sido sancionado por hackeos de Lapsus$. Estados Unidos lo busca por ataques contra 47 víctimas que habrían generado rescates por 115 millones de dólares.
Un hacker descubrió que Suno extrajo millones de canciones de YouTube, Deezer y otras plataformas
Una filtración reveló parte de la infraestructura con la que Suno, uno de los principales generadores de música con inteligencia artificial, recopiló millones de canciones, letras y grabaciones de internet para entrenar sus modelos. La información surge de datos obtenidos por un hacker y analizados por 404 Media.
Qué pasó. El material incluye código fuente de 2023 y 2024 con instrucciones para descargar contenido de YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound y la biblioteca de partituras IMSLP, entre otros servicios.
Números. Los registros describen enormes conjuntos de datos: unas 113.879 horas de YouTube Music, 62.117 de Pond5, 19.514 de partituras de IMSLP, 17.615 horas vinculadas a Genius y 12.287 de Deezer. Otro sistema buscaba específicamente versiones a capela en YouTube para obtener pistas vocales.
El código también muestra el uso de proxies de Bright Data para automatizar las descargas. Además, Suno habría identificado 420.000 podcasts mediante PodcastIndex, con el objetivo de recopilar cerca de un millón de horas de audio.
Contexto. Suno enfrenta demandas de la industria discográfica, que la acusa de copiar grabaciones protegidas y eludir las medidas técnicas de YouTube.
La empresa ya había reconocido que sus modelos fueron entrenados con “decenas de millones” de archivos musicales disponibles en internet, pero sostiene que ese uso está protegido por la doctrina de fair use.
Apple: “El negocio de OpenAI está podrido hasta la médula”
Apple demandó a OpenAI por presunto robo de secretos comerciales y describió una maniobra coordinada para extraer información confidencial de empleados actuales y antiguos.
La denuncia, de 41 páginas, incluye mensajes internos, acceso indebido a sistemas y hasta el traslado de prototipos, según recoge TechCrunch.
Qué pasó. Apple sostiene que OpenAI construyó parte de su negocio de hardware mediante secretos comerciales obtenidos de forma ilegal.
Estos son algunos de los puntos más fuertes de la demanda, recopilados por el medio especializado:
Una práctica “normalizada por el liderazgo”. Apple afirma que no se trató de empleados aislados, sino de una conducta promovida desde los niveles más altos de OpenAI.
“Podrido hasta la médula”. La compañía asegura que el incipiente negocio de hardware de OpenAI se apoya en información confidencial apropiada ilegalmente.
“Esto es apenas la punta del iceberg”. Apple anticipa que el proceso judicial podría revelar una escala mucho mayor de extracción de datos.
Acceso a sistemas internos. Un exempleado habría aprovechado un error de autenticación para ingresar al almacenamiento de red de Apple desde una computadora corporativa. En un mensaje escribió:
LOL, descubrí que puedo acceder.
Equipos retenidos tras dejar Apple. El mismo ingeniero habría dicho que todavía conservaba otra computadora de la empresa para acceder a información confidencial.
Piezas y prototipos en entrevistas. Apple acusa a OpenAI de pedirles a candidatos que llevaran componentes reales, archivos de diseño CAD y prototipos a entrevistas laborales.
Cómo evitar controles de seguridad. OpenAI habría asesorado a empleados sobre cómo impedir una salida inmediata de Apple y conservar durante más tiempo el acceso a sus sistemas.
Más de 400 exempleados. Según la demanda, esa cantidad de trabajadores de Apple pasó a OpenAI.
“io” también está acusada. La compañía fundada por Jony Ive y adquirida por OpenAI por US$ 6.500 millones (io) habría utilizado técnicas industriales, proveedores y terminología interna de Apple.
Apple asegura que intentó plantear sus preocupaciones a OpenAI en febrero, pero no obtuvo respuesta.
OpenAI rechazó las acusaciones y sostuvo que no tiene interés en los secretos comerciales de otras compañías.
🔓 Breaches y hacks
23andMe pagará 18 millones de dólares por el breach de 2023
Una estafa a soporte técnico generó un data breach de 5,7 millones de usuarios en Qantas (Australia)
Una falla en n8n permite a atacantes loguearse de manera remota
🔒 Ransomware
El ransomware lidera los ciberataques en Gran Bretaña
Incautan el sitio de leaks de Sevyware
Coca-Cola dice que un ransomware afecta una de sus ramas de producción
💣 Exploits y malware
Una extensión de Claude para Chrome permite leer mails de Gmail
Nuevo kit de phishing apunta a Microsoft 365
Cerca de 300 repositorios de GitHub se presentan como legítimos para instalar malware
🔍 Threat intel y vulnerabilidades
Arrestan a un ciudadano galés que administraba Doxbin
Revelan una infraestructura comprometida por la cual accedieron a más de 20 sitios del Gobierno en Brasil
Reportes: Google Cloud, ZeroFox, Cyfirma, Check Point, Unit 42 (Palo Alto), Sophos, Kaspersky
🛠️ Tools y updates
Fortinet, Ivanti y ServiceNow parchean vulnerabilidades
Zoom parchea una vulnerabilidad de 9,8
Google arregló 15 bugs en Chrome
📋 Privacidad y regulaciones
Meta, acusada de usar IA para controlar y despedir a trabajadores
Apple enfrenta una demanda por una falla al ocultar remitentes de correos
HP fue denunciada en India por “cartelización” de tinta de cartuchos
Este newsletter fue escrito por un humano. Se usó inteligencia artificial generativa para resumir textos, detectar errores de redacción, concordancia y typos. Aun así, puede contener imprecisiones.
Para cualquier comentario, corrección o sugerencia, podés responder este mail. Si tenés información sobre un hackeo, me podés contactar por acá o por mis redes.
Si te sirvió, compartilo: tu recomendación orgánica es mucho más valiosa que cualquier campaña publicitaria.










