La contraseña de Casa Rosada, Reuters borra un artículo sobre hackers y sube el pedido de rescates de ransomware
Una foto de Gabriela Cerruti y el vocero entrante se volvió viral, India le tuerce el brazo a Reuters en un caso atípico, Check Point da a conocer nueva telemetría y cierra Argenteam.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
1>8
dic
⚡ TL;DR
¿Quién nunca tuvo un user/pass anotado en un papel y pegado en el escritorio? A pocos días del cambio de presidente en Argentina, una imagen con una contraseña de la Casa Rosada se hizo viral y reavivó los comentarios sobre las medidas de seguridad de los organismos públicos. (Por las dudas: la contraseña ya la cambiaron).
Fue una semana con algunas detecciones locales en Argentina (defacement en Universidad del Comahue y Universidad de San Luis, Akira Ransomware atacó Midea Carrier, una empresa con peso en Brasil, Chile y Argentina) y apareció una fuerte campaña de deepfakes en Chile. Ah, y parece que Flipper Zero llegó a Villa Carlos Paz, Córdoba.
A escala global hubo varios casos de ransomware, donde destaca un posible coletazo a Twitch y Roblox, quizás uno de los videojuegos más populares del mundo. El caso de 23AndMe tuvo una actualización: muchos más usuarios afectados de lo que se creía. Y Check Point Research publicó nueva telemetría para 2023, con un promedio de demandas de pago de rescates por encima de los 5 millones de dólares (el caso de Caesars Entertainment debe haber influido, en tanto habrían pagado 15 millones de dólares).
Hubo, además, un caso que me llamó poderosamente la atención y que puede ser una discusión de “periodismo para periodistas” pero creo que es más que eso: la conocida agencia de noticias británica Reuters tuvo que borrar un artículo en torno a un caso de hackers en la India. Esto es atípico por diversos motivos y es un último recurso en una redacción por los múltiples problemas (legitimidad de marca, entre tantos otros) que esto puede ocasionar.
Dos anuncios para cerrar: primero, esta semana Argenteam, el grupo de subtitulado más grande de Hispanoamérica, anunció que cierra después de 22 años. Estuve a punto de contarlo en esta entrega, pero junté tanta información luego de hablar con 2 admins de peso del sitio que voy a publicar una edición especial el domingo contando su historia.
Y el segundo, esta entrega, como había anticipado, ya cuenta con un anuncio publicitario. Pronto escribiré un posteo con un informe de transparencia sobre las condiciones de producción de los anuncios.
Leer este correo te va a llevar 10 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
🔑 La contraseña de Casa Rosada y la polémica por la seguridad estatal
La transición del Gobierno argentino está en camino: con la asunción de Javier Milei el próximo domingo, diversos cargos ya empiezan a traspasar y uno que hizo ruido en el ambiente infosec fue el de los voceros presidenciales.
Gabriela Cerruti, vocera saliente, recibió a Manuel Adorni, funcionario entrante, en la sala de prensa de la Casa Rosada, sede del Ejecutivo argentino. La imagen que subieron a las redes sociales se viralizó entre la comunidad infosec por un detalle: se ve, de manera muy clara, un usuario y contraseña.
Lo primero que hay que explicar es dónde está tomada la foto: se trata de la sala de prensa de la Casa Rosada. Y ¿de qué es esa contraseña? Del WiFi que usan, principalmente, los periodistas.
El tuit se viralizó rápidamente en X, donde se reavivó el debate por la seguridad de los organismos públicos. Lo más discutido fue, lógicamente, el peligro que conlleva exponer una contraseña en una foto en redes sociales. Y por esto, cabe preguntarse cuán weaponizable es disponibilizar esta información.
Arturo Busleiman, consultor en Seguridad informática que trabaja en el Ministerio de Relaciones Exteriores, Comercio Internacional y Culto desde 2018, explicó a Dark News:
El riesgo es relativo y difícil de medir. Sí podemos estar de acuerdo en que no está bien anotar una clave y pegarla en una pared. Ahora, las preguntas que hay que hacerse, más allá de esa contraseña, son otras: esa clave, ¿se usa para otros servicios? ¿Sigue un patrón que puede servir para conocer otras claves? ¿Hay segundo factor? Si lo hay, ¿es a través de SMS? ¿Hay, más allá de esta foto, una práctica extra de seguridad?
El principal problema que esta imagen representa es que cristaliza el ideario colectivo sobre el manejo de la ciberseguridad y la seguridad de la información en los organismos públicos, algo que se confirma con sólo repasar la enorme cantidad de casos de accesos no autorizados y ciberataques que hubo durante los últimos años: el PAMI, la Dirección Nacional de Migraciones, Renaper, Hospital Garrahan, Justicia de Córdoba, Legislatura porteña, Comisión Nacional de Valores y tantos otros más.
Y si bien la gestión pública tiene mala reputación en el ambiente de la ciberseguridad local, el estado de la cuestión es más complejo de lo que parece:
A nivel organismo, lo que muchas veces sucede es que cuando no hay una política de seguridad de la información, el equipo de sistemas suele tirar alguna sugerencia. Y si bien un jefe de sistemas entiende estas problemáticas, en general cuesta empujar ciertos hábitos porque no se quiere ‘molestar’. Yo creo que no debería ser así: se puede concientizar y eso no es molestar. Si estás en una oficina donde sos el que más o menos sabe del tema, tratá de comunicarlo. Sobre todo porque si bien hay malas asesorías, es un tema humano: no podés empujar ciertas políticas de una manera correcta sin que haya un rechazo o una emoción compleja en el medio.
Por último, también está el aspecto de la seguridad de la clave. Hace unas dos semanas, NordPass publicó la lista de contraseñas más usadas del mundo y sí: 123456, admin y password rankean en la lista. No sorprende que “2019Jefatura” haya sido la elección de la sala de prensa de la Casa Rosada, aunque al menos tiene una mayúscula.
El caso, además de hacer ruido entre las redes, fue el tema del día entre los periodistas que cubren Casa Rosada, a quienes les avisaron que ya cambiaron la clave del WiFi. Spoiler: la clave nueva no es mucho más segura.
🔶 Hackeo a Tipalti llega a Roblox
Tipalti, una empresa fintech que ofrece procesamientos de pagos electrónicos, informó que está investigando un robo de 256 GB de datos por parte del grupo de ransomware Black Cat (ALPHV). La noticia se hizo eco durante la semana porque trabaja con clientes muy conocidos como Twitch, Roblox, GoDaddy, Canva y X (Twitter).
"Hemos permanecido presentes, sin ser detectados, en múltiples sistemas Tipali desde el 8 de septiembre de 2023", aseguraron en su leak site.
Bajo este acceso no autorizado, aseguran que entre los 256 GB hay datos “separados” de Twitch y Roblox, uno de los servicios de streaming más populares del mundo y un videojuego con millones de jugadores. El dato llamativo es que la publicación fue luego eliminada por Black Cat.
Luego de eliminar el posteo, ALPHV subió un posteo independiente de Tipalti, sin involucrar a terceros.
🧬 La filtración de 23andMe afecta a 6.9 millones de usuarios
La compañía de pruebas genéticas 23andMe confirmó que la cantidad de usuarios afectados por el data breach de este año asciende a 6.9 millones de víctimas.
El viernes de la semana pasada, la empresa presentó un nuevo informe ante la SEC (8-K) en el cual determinó que los atacantes habían accedido a un 0.1% de la base de datos de sus clientes, cerca de 14 mil usuarios. Sin embargo, la empresa había advertido que “a través de ellos, los atacantes pudieron acceder a un número significativo de archivos con información genética” de otros usuarios: ese número, se supo esta semana, son 6.9 millones.
23andMe había dado a conocer una filtración de sus bases de datos en octubre, que se obtuvo mediante un ataque de credential stuffing. Las primeras informaciones generaron preocupación por la sensibilidad de los datos que maneja la compañía, que recolecta ADN de sus usuarios.
🧑⚖️ Reuters tuvo que bajar una nota sobre hacking
La agencia de noticias Reuters eliminó una investigación sobre una startup india que, según explicaban tres periodistas que firmaron la nota, escondían un negocio de “rent-a-hacker”. Esto es, dentro del periodismo, muy llamativo: no es común borrar artículos publicados por múltiples razones.
El informe se basaba en una enorme cantidad de documentos que incluían correos electrónicos, registros financieros, fotos, mensajes y presentaciones del interior de Appin, la startup en cuestión. Que, para Reuters, ya calificaba como un APT.
No hay indicios de que el artículo contuviera errores o información incorrecta, y una nota del editor afirma que "Reuters mantiene su información y planea apelar la decisión."
Borrar artículos es muy problemático porque, a pesar de que la URL del medio se encuentre no disponible, en general se puede conseguir una versión archivada (que, de hecho, está online acá). Es un impacto negativo en la reputación de un medio, razón por la cual Reuters salió a hacer pública la situación y explicar que se debe a una intervención de la Justicia.
India enfrenta serios problemas de libertad de expresión. En el pasado, cuando la BBC publicó un documental crítico con el Primer Ministro del país, Narendra Modi, las autoridades allanaron las oficinas de la cadena por supuesta evasión de impuestos. Amnistía Internacional dejó el país, destaca 404. La eliminación del artículo por orden judicial es un hecho más en este peligroso sentido.
🥷 Ransomware: Check Point Research detecta un 37% más de casos y pagos más altos
El laboratorio de amenazas de Check Point Research detectó un crecimiento de ataques de ransomware en un 37% durante los últimos meses, con demandas de rescate superiores a los 5 millones de dólares, una cifra alta para lo que se suele pagar tras las negociaciones.
Según explicaron en un reporte, la demanda media por rescate que pedían los ciberatacantes durante el año pasado era de 2.07 millones de dólares. “En los últimos meses, se ha visto que los sectores más amenazados por este tipo de ciberataques son educación, el gobierno/militar y la salud”, detallaron.
Explicó Eusebio Nieva, director técnico de Check Point Software para España y Portugal, en un comunicado compartido con la prensa:
Los ataques de ransomware están creciendo en volumen y sofisticación y amenazan sin cese nuestras empresas y las instituciones gubernamentales, teniendo que hacer frente a rescates de cantidades desorbitadas. Ya anunciamos hace unos meses cómo el crecimiento de este tipo de ataques iba a alcanzar la misma escala de impacto en la sociedad que la crisis de la energía o el coste de la vida, y así está ocurriendo.
Los datos, como toda estadística, deben tomarse de manera relativa, como una medición más entre tantas otras que hacen los distintos vendors que proveen servicios de ciberseguridad.
✡ Me Filtraron: Israel-Hamás, entre ataques de defacing y DDoS
MeFiltraron, un sitio que permite revisar datos filtrados en la web (como un Have I Been Pwned rioplatense), estrenó esta semana una versión con telemetría de detecciones de grupos asociados a Israel y Hamás.
El sitio, que salió en la TV Pública esta semana, permite ver que la mayoría de los casos son de DDoS (111 detecciones), lo cual matiza el poder de fuego de estos grupos que sí están muy activos en Telegram, pero sirve para tenerlos bajo el radar.
Precisamente Check Point Research publicó, a fines del mes pasado, una investigación sobre la evolución de SysJoker, un backdoor multiplataforma que está vinculado a un APT de Hamas focalizado en atacar Israel.
Todavía no hay registros de ataques kinéticos significativos o ciberamenazas que hayan causado disrupciones en sistemas de infraestructura crítica, aunque el registro cuenta 12 incidentes contra este sector.
🔗 Más info
Meta aplica encriptado de punta a punta en Messenger
Nissan investiga un nuevo ciberataque y posible filtración de datos
Ofrecen 10 millones de dólares por información de hackers que trabajen con Corea del Norte
LogoFAIL bypassea medidas de seguridad e infecta el UEFI BIOS
México: Carlos Slim, Larrea y ejecutivos de Televisa fueron espiados con Pegasus