Milei limita el acceso a la información, segundo round de Brasil vs. Musk y Microsoft podría tener otro "Recall" entre manos
El Gobierno argentino modificó por decreto una ley, mientras Starlink va a acatar la prohibición de Twitter en Brasil. Además: encuentran la forma de clonar llaves Yubico.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
30 ago>
6 sept
⚡ TL;DR
Argentina empezó la semana con una noticia fuerte en relación a la posibilidad de acceder a información pública: por decreto, el Gobierno de Javier Milei fijó límites a los datos que la ciudadanía le puede pedir al Estado.
Se trata de un paso atrás en el concepto de Gobierno Abierto, una idea que prioriza el derecho de los ciudadanos a solicitar acceso a documentos, datos e información de carácter público. El tema central es la redefinición de qué es un dato “público” e introduce la noción del dato “privado” que, para algunos especialistas, dificulta el acceso.
Al margen de esto, hace unos años el sitio de fact checking argentino Chequeado hacía un “Infómetro” que medía, con un sistema de rankings, la transparencia institucional de los ministerios en Argentina. En general, el promedio era bastante malo. Para darse una idea de temas que llegaron a la esfera pública por pedidos de información, se puede visitar este enlace.
En el plano regional, la continuidad de la pelea entre Brasil y Elon Musk fue uno de los temas más relevantes, que definitivamente saltó el cerco de la información infosec para llegar a portadas de diarios generalistas. Por otro lado, el presidente de Colombia, Gustavo Petro, llamó a investigar la compra de software Pegasus de gestiones anteriores a la suya.
A nivel global, Estados Unidos llevó adelante una de las operaciones más grandes en contra de aparatos de desinformación: acusó formalmente al Kremlin de interferir en el proceso electoral que se llevará a cabo el próximo 5 de noviembre.
Por un lado, el DOJ bajó 32 dominios de un actor de amenazas conocido como Doppelganger, que básicamente hacían typosquatting con sitios que llevaban a propaganda rusa. Por el otro, acusó formalmente a dos empleados de RT y destapó que Tenet Media tendría detrás fondos rusos. Además, China cayó en la volteada: cayó Spamouflage, un grupo que representaría los intereses chinos y que engañaría a usuarios para dirigir el discurso online.
Hablando de Rusia, un caso que no tuvo cobertura en occidente, que me parece interesante en cuanto a la aspiradora de datos que implican las herramientas de IA generativa como ChatGPT, fue el pedido para prohibir crawlers externos que hizo una agencia militar rusa al Gobierno del Kremlin. El argumento es que estos servicios (donde se incluyen motores de búsqueda como Google) pueden llevarse información de sitios oficiales, e incluso llegar a datos personales y vulnerables (todo con el fin de entrenar a estos modelos de machine learning). Dejo el enlace a la traducción automática de un sitio ruso.
En el mundo de los reportes, Trend Micro publicó uno interesante donde asegura que Mekotio, uno de los troyanos bancarios más extendidos en América Latina, expande su reinado de víctimas (Agustín Merlo identificó, además, un nuevo “ServerLoader”). Fortinet dio a conocer detalles sobre Emansrepo, un nuevo stealer y Kaspersky publicó un nuevo reporte de threat intel (Q2 2024).
Entre las investigaciones apareció una muy curiosa: dos researchers publicaron una investigación sobre cómo bypassear la seguridad de un aeropuerto usando inyección SQL.
Dos noticias importantes en el plano de las redes sociales: Threads, la red social de Meta que es una copia de X (Twitter), habilitó una integración con Mastodon. Es cierto, nadie usa Threads, pero es un paso hacia adelante en el Fediverso. Y Bluesky -otro clon de Twitter que nadie usa- agregó un filtro “anti-toxicidad” que bien podría servir como modelo para el resto de las plataformas.
Un último tema para seguir de cerca: Bloomberg publicó (paywalleado) que Mastercard está evaluando deshacerse de los números de tarjeta de crédito para combatir el fraude online. La iniciativa ya arranca su prueba piloto y, de prosperar, podría ser adoptada por la industria en su totalidad.
Dark News #100
Leer este correo te va a llevar 14 minutos.
El VII Congreso de ingeniería ARGENCON IEEE 2024 tendrá un track de ciberseguridad y ciberdefensa que reunirá a profesionales de seguridad en San Nicolás de los Arroyos. Organizado conjuntamente por la Universidad Tecnológica Nacional Regional San Nicolás y el Capítulo Argentino del IEEE, será del 18 al 20 de septiembre. Para más información, clic en el banner.
🏛 Argentina limita el acceso a la información pública
El Gobierno argentino realizó cambios a la Ley de Acceso a la Información Pública, con una nueva especificación sobre el alcance de lo que se considera efectivamente “información pública”, y dando más fuerza a la figura de la “información privada” que limitará el éxito de los pedidos de la ciudadanía al Estado.
Estas modificaciones, oficializadas a través del decreto 780/2024 del lunes pasado, reglamenta el artículo 1° de la Ley N° 27.275 en lo relacionado con el principio de “buena fe” y establece: “La violación al principio de buena fe por parte de todos los actores intervinientes configura el supuesto previsto en el artículo 10 del Código Civil y Comercial de la Nación”.
Esto fija que “el juez debe ordenar lo necesario para evitar los efectos del ejercicio abusivo o de la situación jurídica abusiva y, si correspondiere, procurar la reposición al estado de hecho anterior y fijar una indemnización”.
Dark News consultó a Martín Becerra, investigador del Conicet y profesor de la Universidad Nacional de Quilmes y de la Universidad de Buenos Aires, sobre los alcances de las modificaciones al decreto.
Antes, sobre el sentido de esta ley en general, explicó:
La ley beneficia a toda persona (humana o jurídica) que quiera conocer información sobre datos, documentos y movimientos de una amplia gama de "sujetos obligados", es decir, quienes deben proveer esa información en formato abierto y accesible: se trata de la administración pública nacional, los tres poderes del Estado, empresas y sociedades con participación estatal, concesionarios de servicios públicos, empresas, partidos políticos, sindicatos, universidades y cualquier entidad privada beneficiaria de fondos públicos, el BCRA y concesionarios de juegos de azar. En resumen, se trata de una ley que beneficia el ejercicio de la libertad de expresión de la ciudadanía por la vía de regular su derecho de acceso a la información pública.
Bajo este escenario, el nuevo decreto modificó el alcance de las definiciones de “información pública” y “documentos”. Explicó Becerra:
El decreto recorta severamente los alcances de la ley al crear la imprecisa figura de “datos de naturaleza privada” que son, a partir de ahora, exceptuados del acceso a la información pública. La redacción del decreto permite al Gobierno definir los contornos de la información a proporcionar, obturando así el objetivo principal de la ley y sepultando la transparencia pretendida con la norma legal. La discrecionalidad instituida con el decreto es reforzada al exceptuar del acceso la información “cuyo conocimiento público, difusión o divulgación pueda, directa o indirectamente, causar daños y perjuicios”.
Estas modificaciones fueron cuestionadas desde distintos sectores, pero por sobre todo desde el periodismo, debido al recorte que implica en cuanto al acceso a la información. Cerró Becerra:
El decreto se aprovecha de que el acatamiento a la Constitución no figura entre las prioridades de la agenda pública, al desbordar la facultad del Poder Ejecutivo, porque con una modificación reglamentaria está alterando la esencia misma de una ley. Legislar mediante decretos reglamentarios no forma parte de las atribuciones constitucionales de un presidente. Y es una medida que restaura la cultura del "secretismo" en el manejo de la cosa pública. Claramente, un retroceso en términos de valores democráticos o republicanos.
La política también tuvo sectores críticos de la medida. La diputada nacional Karina Banfi cuestionó la iniciativa, bajo la advertencia de que el Ejecutivo está "legislando por decreto" porque "cambia la naturaleza de la información pública”. También señaló que “desconoce cómo opera la ley” ya que “lo que pretenden resguardar está en el artículo 8 inciso i) y en el artículo 12” de la ley vigente.
La ONG Poder Ciudadano también rechazó el espíritu del decreto.
⛔ La pelea Lula Da Silva vs. Elon Musk escala: Starlink da marcha atrás
El Presidente de Brasil, Luiz Inácio Lula da Silva, cargó contra Elon Musk luego de que el juez más poderoso de Brasil, Alexandre de Moraes, ordenara la prohibición de Twitter en todo el territorio brasileño ante el “reiterado incumplimiento de órdenes judiciales”. Es por un pedido de dar de baja una serie de cuentas que, según aseguraba el juez, difundían desinformación.
Ahora, Da Silva le dijo a CNN que “el mundo no está obligado a soportar el ‘todo vale’ de extrema derecha del multimillonario Elon Musk debido a su inmensa riqueza”.
La pelea escaló hasta Starlink, el servicio de internet satelital que es propiedad de Elon Musk, que en un principio iba a bypassear la medida. La empresa, sin embargo, dijo el martes pasado que va a cumplir con la orden del juez de Moraes: “Independientemente del tratamiento ilegal de Starlink en la congelación de nuestros activos, estamos cumpliendo con la orden de bloquear el acceso a X en Brasil”, aseguró la empresa, que tiene más de 200.000 clientes en Brasil.
El mercado brasileño de Twitter es uno de los más grandes del mundo: cerca de 40 millones de brasileños, un quinto de la población, entra a Twitter por lo menos una vez al mes (según Emarketer).
El costado más llamativo (y ridículo, para muchos analistas) fue una multa que anunció el Gobierno de Brasil para los usuarios que activen una VPN para usar Twitter: 9 mil dólares por día.
Musk, autoproclamado “absolutista de la libertad de expresión”, interpretó la medida como un paso más hacia la “censura” por parte de la nación brasileña. Desde abril de este año venía envuelto en una polémica con el juez de Moraes, cuando el letrado había pedido la suspensión de una serie de cuentas de derecha y Musk las restableció.
La prohibición de la red social en todo el territorio brasileño es el punto más álgido de la escalada entre el magnate multimillonario y el presidente de Brasil.
🔑 Descubren una forma de clonar llaves Yubico
Un grupo de investigadores de NinjaLab descubrió una forma de clonar las YubiKey 5, una de las llaves FIDO más usadas del mundo, reportó Ars Technica. La vulnerabilidad es, técnicamente un “side channel attack”, un tipo de ataque que explota una parte del hardware de la cual se puede tomar información para inferir datos valiosos para llevar a cabo el hack.
En el reporte publicado se explica cómo se apunta a un pequeño microcontrolador usado en una gran cantidad de dispositivos de autenticación, incluidas las tarjetas bancarias, y pasaportes electrónicos. Yubico, fabricante de las YubiKey, avisó que no es posible parchear el problema. Y en este caso el side channel que se aprovecha para atacar una llave es la cantidad de tiempo que toma un cálculo matemático llamado inversión modular.
“Un atacante podría aprovechar este problema como parte de un ataque sofisticado y dirigido para recuperar las claves privadas afectadas. El atacante necesitaría la posesión física de la YubiKey, la llave de seguridad o el YubiHSM, saber a qué cuentas quiere dirigirse y un equipo especializado para realizar el ataque necesario”, explicó Yubico.
Incluso, “dependiendo del caso de uso, el atacante también puede requerir conocimientos adicionales, incluyendo nombre de usuario, PIN, contraseña de la cuenta o clave de autenticación”.
La “buena” noticia sería que la explotación es difícil y muy cara: requiere equipamiento por cerca de 11 mil dólares para poder ejecutarlo y mucho conocimiento de ingeniería en hardware, además de criptográfica.
Por este motivo, NinjaLab arriesga la hipótesis de que es probable que estas fallas sean explotadas por actores avanzados (APT), por lo general, patrocinados por Estados.
🤖 La Unión Europea, Estados Unidos y Gran Bretaña firman el primer tratado de IA
La Unión Europea (UE), Estados Unidos y Gran Bretaña abrieron el jueves a la firma del primer tratado internacional jurídicamente vinculante sobre inteligencia artificial. Se trata de un marco regulatorio que se adoptó en mayo de este año tras el debate entre 57 países y aborda los riesgos que puede plantear la IA.
Se basa en una Convención sobre estas tecnologías que se centra en la protección de los derechos humanos de las personas afectadas por los sistemas de inteligencia artificial y es independiente de la Ley de IA de la UE, que entró en vigencia el mes pasado.
Dark News consultó a Ariel Riera, jefe de Investigación y Asuntos Públicos de la consultora SmC+, para consultarle sobre qué se trata este tratado:
Se trata de un Convenio Marco vinculante para las partes que lo firmen y adhieran, y que pretende funcionar como un equivalente para IA del Convenio de Budapest sobre ciberdelitos, estableciendo estándares mínimos. A raíz de las negociaciones, es un texto bastante amplio, que establece principios como la dignidad humana, transparencia o igualdad, en todos los casos con margen para que cada país o la Unión Europea decidan la forma concreta que consideran cumple con los criterios.
En cuanto a la posibilidad de su aprobación, agregó:
Es posible que varios países lo firmen dada esta generalidad y flexibilidad al contexto y marco normativo nacional, pero no veo que vaya a reemplazar otros debates actuales en el campo como los que se dan en el contexto del G20, Naciones Unidas, o los congresos nacionales.
Ariel Riera hace una publicación que actualiza semana a semana las novedades en relación a políticas de IA, que recomiendo.
🪟 ¿Otro Windows Recall?
Un usuario de Twitter se dio cuenta de que Microsoft estaría preparando una función llamada “Intelligent Media Search” en Windows 11 Canary Build 27695, que escanearía todos los archivos multimedia en el sistema (incluyendo texto, imagen, audio y video) y los traería a pedido del usuario. O sea, una especie de “Recall” 2.0.
A mitad de año, Microsoft causó revuelo con una función llamada “Recall” que iba a sacar capturas de pantalla de todo lo que hacía el usuario si tenía activa la última versión de Copilot. Luego de las críticas, Microsoft dio marcha atrás en su activación por defecto.
Intelligent Media Search parece ser una forma rápida y simple de encontrar contenido dentro de un sistema, desde documentos hasta fotos. Aún no está claro si se trata de una función independiente o de una extensión de Recall, pero es poco probable que los usuarios de Windows estén de acuerdo, en tanto este tipo de funciones abren a una serie de problemas de seguridad que pueden violar la privacidad de los usuarios.
Con Recall, el proceso de recuperación se hace mediante capturas de pantalla intermitentes que registran todo lo que el usuario hace. Windows 11 analiza y almacena todo para que el usuario pueda “recordar” inmediatamente cualquier cosa que se haya hecho en el pasado. Esto agitó mucho a la comunidad infosec, que criticó que viniera activado por default (y se logró que no venga por defecto).
No termina de estar claro cómo funcionaría Intelligent Media Search, sobre todo porque Microsoft no hizo ningún anuncio oficial y es más bien el descubrimiento del investigador que lo publicó en Twitter.
🕵 Conectan a un grupo de hackers militares rusos a ataques a infraestructura crítica
Estados Unidos vinculó a un grupo de ciberatacantes afiliados a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de Rusia (GRU) a una serie de ataques contra infraestructuras críticas en diversos puntos del mundo.
En un aviso conjunto publicado entre el FBI, CISA y la NSA, identificaron al grupo conocido como Ember Bear (o Cadet Blizzard para Microsoft) como partícipes del despliegue del wiper WhisperGate en Ucrania en enero de 2022, y son descritos por las fuerzas de EE.UU. como “oficiales subalternos en servicio activo del GRU, coordinados por la experimentada dirección de la Unidad 29155”.
Según el comunicado oficial de CISA, el grupo armó intentos de sabotaje y hasta asesinato en toda Europa, con un costado cyber contra sectores de infraestructura crítica de miembros de la OTAN y países de América del Norte, Europa, América Latina y Asia Central desde 2020. Incluso, los apuntan como partícipes de interrumpir los esfuerzos para brindar ayuda a Ucrania desde principios de 2022.
“Los objetivos de los actores cibernéticos de la Unidad 29155 parecen incluir la recopilación de información con fines de espionaje, el daño a la reputación causado por el robo y la filtración de información sensible, y el sabotaje sistemático causado por la destrucción de datos”, explica el texto oficial, publicado este jueves.
En el comunicado están las TTP del grupo y destaca un dato curioso: usaban -entre otros métodos- Discord para comunicarse.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
🔗 Más info
Hacen un defacement contra sitios estatales en Santiago del Estero, Paraná y Ezeiza
Comparten información que sería robada al Municipio de Moreno
Veeam Backup & Replication advierte sobre un RCE crítico
Microchip Technology confirma información filtrada luego de un ransomware
La Agencia de Transporte Público de Londres sufrió un ciberataque
VMWare publicó otra actualización de seguridad
La estafa de las reseñas falsas de GitHub sigue creciendo
Apache arregla un RCE crítico de OFBiz
Microsoft remueve de Bing resultados relacionados a revenge porn