Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

18>25
abr

⚡TL;DR

Semana de reportes en el mundo de la ciberseguridad. La división del FBI Internet Crime Complaint Center (IC3), que releva el escenario general de ciberataques reportados en Estados Unidos, publicó su edición 2024 y hay algunos números interesantes.

Si bien el informe es localizado en ese país, funciona como un termómetro global de los ataques más comunes, donde se puede corroborar, año tras año, que ni el ransomware ni las amenazas avanzadas (APT) constituyen el mayor volumen de ataques: el phishing, las falsas inversiones, estafas y falso soporte técnico encabezan la lista.

Todo esto denota que la puerta de entrada del cibercrimen es, todavía, un conjunto de estafas y engaños ya conocidos, que evolucionan sólo en sus formas pero no tanto en su estructura.

Google Cloud publicó su reporte M-Trends, de gran reputación en el ambiente y considerado por muchos como uno de los más representativos, en tanto se arma en base a los datos de los incident response de organismos públicos y privados, y Verizon aportó también esta semana su informe anual.

Como siempre digo: los números, con cautela. Por más que a los periodistas nos gusten los datos duros, no dejan de ser indicadores para orientarse y nunca son absolutos respecto de un escenario de amenazas.

En otro plano, luego de haber salido del ojo de la tormenta del año pasado, Telegram volvió a generar algunos titulares, aunque en menor medida. La app tuvo problemas en Francia, ante la exigencia del Gobierno de acceder a mensajes encriptados. El caso es relevante porque, junto a Signal, Telegram es una de las aplicaciones que se resiste a entregar la privacidad de sus usuarios, en un complejo debate que apunta a un balance entre los alcances de las fuerzas de seguridad y los derechos online.

Una idea que siempre repite Mikko Hyppönen en diversas entrevistas: si se prohíbe el cifrado de mensajes, entonces sólo los cibercriminales usarán esta tecnología (pues, al estar al margen de la ley, no hay problemas en que lo usen), privando a los ciudadanos “de a pie” a usar este tipo de tecnologías que resguardan la privacidad.

A nivel regulaciones y Big Tech, Google sigue enfrentando un escenario complicado, ahora con un juicio donde acusan al buscador de manejar una dominancia absoluta, luego de que una jueza federal decretara que el negocio de los avisos publicitarios de la empresa constituye un “monopolio ilegal”. Para muchos, la ruptura y venta de algunas unidades de negocio de Alphabet es inminente, mientras en Europa Multaron a Apple y Meta.

En el mundo de los APT, Kaspersky publicó un research sobre SyncHole, una operación que aprovechó un zero-day para infectar cinco compañías de Corea del Sur.

Cierro con un paper que creo que aporta información relevante para la industria: la IA no es del todo buena para el campo del análisis de amenazas (threat intel): “Los LLM no pueden garantizar un rendimiento suficiente en informes de tamaño real, además de ser incoherentes y excesivamente confiados”. No todo es IA, parece.

Se puede leer completo en este enlace, justo la semana en la que salieron nuevos modelos de OpenAI y que, llamativamente, alucinan más que los anteriores.

La perlita de la semana, esta vez, queda para el final del newsletter: encontraron un bug en GTA San Andreas, un juego que tiene una comunidad enorme, al día de hoy, más de 20 años después de su lanzamiento.

Y todo por “culpa” de una actualización de Windows 11.

En esta edición:

• 👮 FBI: el cibercrimen le costó 16.000 millones de dólares a EE.UU. en 2024

• 📲 Telegram amenaza con irse de Francia ante un pedido por abrir sus mensajes cifrados

• 💰 Multan a Meta y Apple en Europa

• 🐷 Las operaciones de estafas de Asia se extienden a América Latina

• 💻 Detectan una campaña que abusa una función poco conocida de Zoom para robar cripto

• 👾 Encuentran un bug en GTA San Andreas, 20 años después, por Windows 11

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #138

Cyber Summit, la conferencia líder en Ciberseguridad Industrial de Latinoamérica, llega a Buenos Aires el próximo 5 de junio en el Centro de Convenciones La Rural. Registrate haciendo clic en el banner y asegurá tu lugar en la conferencia que marcará la agenda de las industrias.

FBI: el cibercrimen le costó 16.000 millones de dólares a EE.UU. en 2024

Cibercriminales robaron al menos 16.000 millones de dólares en Estados Unidos durante 2024, un 33% más año contra año, a base de phishing, spoofing -una forma de suplantación de identidad-, extorsiones y (ransomware). Según el FBI, las estafas que más dinero le costaron a las víctimas fueron el falso soporte técnico, BEC (compromiso de cuenta de correo corporativa) e inversiones fraudulentas.

Reporte. El FBI publicó su análisis bajo la división Internet Crime Complaint Center (IC3), que registró una serie de crecimientos en 2024. Entre los datos más destacados:

• El 83% de las pérdidas estuvieron relacionadas con fraudes habilitados por tecnología (phishing, soporte técnico falso, inversiones truchas, etc.).

• La estafa más costosa fue la de inversiones fraudulentas, que generó más de 6.500 millones de dólares en pérdidas. Las “estafas guiadas” que simulan ser soporte técnico representan una de las estafas más comunes.

• El uso de criptomonedas como herramienta de estafa sigue en alza: se registraron más de 149.000 denuncias y 9.300 millones en pérdidas.

• Los mayores de 60 años fueron los más afectados: presentaron el mayor número de denuncias y acumularon casi 5 mil millones en pérdidas.

• Phishing/Spoofing lidera la lista de denuncias: 193.407 denuncias; ransomware, 3.156 denuncias, con un crecimiento del 9%. Los grupos más activos fueron Akira, LockBit y RansomHub.

Análisis.Uno de las principales confirmaciones del informe tiene que ver con que las estafas más “comunes” como el phishing generan un volumen mayor de víctimas, en relación al ransomware o los APT.

En las estadísticas publicadas se pueden ver más detalles, pero es importante recordar que los números son una tendencia: se trata de casos reportados ante las fuerzas de la ley, motivo por el cual son cifras infrarepresentadas.

En consonancia, la Federal Trade Commission publicó la lista de las estafas más comunes vía mensajes de texto en 2024 (incluye apps de chat como WhatsApp):

1. Falsos deliveries de paquetes

2. Oportunidades laborales dudosas

3. Alertas de falsos fraudes

4. Multas no pagadas

5. Estafa del “número equivocado”

M-Trends 2025. Por otro lado, Google publicó su reporte anual de tendencias de ataques de Mandiant, que está basado en análisis de respuesta a incidentes en empresas multinacionales, agencias gubernamentales, hackeos cripto y otras organizaciones de alto perfil.

Uno de los indicadores más citados del trabajo de Mandiant es el dwell time, o tiempo de permanencia, que es cuánto tiempo pasa un atacante dentro de una red sin ser detectado. En este reporte se habla de una baja, atribuible a mejores herramientas de detección en EDRs.

Verizon. La empresa también publicó su reporte esta semana, donde analiza información de 22 mil incidentes de seguridad de distintos partners.

Telegram amenaza con irse de Francia ante un pedido por abrir sus mensajes cifrados

Telegram amenazó con irse de Francia si el Gobierno insiste en exigir acceso a los mensajes encriptados. Su CEO, Pavel Durov, aseguró que preferiría abandonar el país antes que comprometer la privacidad de los usuarios.

Contexto. Durov explicó en su canal de Telegram que Francia estuvo cerca de prohibir el cifrado de los mensajes. El Senado aprobó una ley que exigía backdoors en apps de mensajería, pero la Asamblea Nacional la rechazó.

Por qué se opone. Durov advierte sobre los riesgos técnicos y de seguridad que dejar backdoors podría generar: ser explotadas por actores maliciosos, desde cibercriminales hasta amenazas gubernamentales [APTs]. Todo esto comprometería la privacidad de los usuarios.

Más argumentos. Durov sostiene en su mensaje que no serviría para combatir el narcotráfico, ya que los criminales migrarían a otras apps más chicas y difíciles de rastrear, especialmente usando VPNs. Dijo Durov:

Telegram prefiere salir de un mercado antes que socavar el cifrado con backdoors y violar derechos humanos básicos. A diferencia de algunos de nuestros competidores, no cambiamos privacidad por market share.

En sus 12 años de historia, Telegram nunca reveló ni un solo byte de mensajes privados. De acuerdo con la Ley de Servicios Digitales de la UE, si recibe una orden judicial válida, Telegram sólo revelará las direcciones IP y los números de teléfono de los sospechosos, no los mensajes.

Esta última aclaración es por la turbulencia judicial que atravesó Durov el año pasado, cuando fue acusado de encubrir, con su aplicación, a sospechosos de delitos de narcotráfico, pedofilia y otros delitos.

Multan a Meta y Apple en Europa

Apple fue multada con 500 millones de euros y Meta con 200 millones, luego de que la Unión Europea impusiera sanciones por primera vez bajo la nueva Ley de Mercados Digitales (DMA).

Investigación. Las sanciones ocurren luego de un año de investigación por parte de la Comisión Europea, el ejecutivo de la UE, sobre si las empresas cumplen la DMA.

Qué es la DMA. La Ley de Mercados Digitales (DMA, por sus siglas en inglés, Digital Markets Act) es una legislación de la Unión Europea diseñada para limitar el poder de las grandes plataformas tecnológicas y garantizar una competencia justa en los mercados digitales.

Establece que hay una serie de gatekeepers que tienen un alto impacto en el mercado europeo y afectan la competitividad del mercado. La ley fue aprobada en el Parlamento Europeo en julio de 2022 y comenzó a aplicarse de manera plena en mayo de 2023.

Foco de conflicto. Las multas podrían generar fricciones con Donald Trump, quien ya había criticado la DMA y amenazado con represalias comerciales si se penaliza a compañías estadounidenses.

Más sanciones. Google y X (Twitter, de Elon Musk) también son investigadas por potenciales infracciones.

Las operaciones de estafas de Asia se extienden a América Latina

Organizaciones de ciberestafadores de Asia Oriental y del Sudeste Asiático están trasladando sus operaciones de estafas a otras regiones, entre las cuales se encuentra América Latina como foco principal, según un reporte de Naciones Unidas.

Por qué. A partir de controles más duros en sus países de origen, principalmente Laos, Camboya, Myanmar y Filipinas, los arquitectos de estas estafas románticas (pig butchering), inversiones fraudulentas e inversiones falsas mudan a otros países sus operaciones.

América Latina. Brasil se destaca como uno de los países más afectados por esta expansión, al enfrentar un aumento de fraudes online, apuestas online ilegales y lavado de dinero vinculado a grupos del Sudeste Asiático.

En Perú, a fines de 2023, se rescataron más de 40 ciudadanos malasios que habían sido traficados por la banda taiwanesa Red Dragon, obligados a cometer ciberestafas.

Más sitios fraudulentos. Esta expansión no es solo geográfica, también tecnológica. El informe señala el crecimiento de mercados online ilegales, redes de lavado de dinero, datos robados, malware, inteligencia artificial y tecnologías de deepfake, que potencian el modelo de “crimen como servicio”.

Números. Naciones Unidas calcula que cientos de centros de estafa a escala industrial generan algo menos de 40.000 millones de dólares de beneficios anuales.

Detectan una campaña que abusa una función poco conocida de Zoom para robar cripto

Atacantes encontraron una forma de explotar una vulnerabilidad en Zoom a partir de una función poco conocida: acceso remoto a un equipo. El ataque es conocido desde marzo de este año, pero apareció una nueva campaña que confirma que la técnica de explotación se encuentra activa.

ELUSIVE COMET. Se trata de un grupo de cibercriminal especializado en el mundo cripto incorporó a su repertorio de ataques por ingeniería social la explotación de “Remote Control”, la opción de Zoom que está pensada para que usuarios con distintos tipos de limitaciones sean asistidos por un tercero. No es una función muy popular.

Research. SEAL (Security Alliance) publicó el reporte en el que se explica que los atacantes de ELUSIVE COMET se hacen pasar por venture capitals, periodistas, hosts de podcasts y otros perfiles para engañar a las víctimas. Escriben, sobre todo, a cuentas de alto perfil (vía DM) en redes sociales como X o Linkedin.

El ataque. Durante las videollamadas por Zoom, solicitan a las víctimas que compartan su pantalla y aprovechan la función de control remoto de Zoom y acceden al equipo de la víctima, donde instalan un infostealer. El truco está en que envían una invitación al acceso remoto con el nombre genérico “Zoom”, entonces el pop-up no muestra un nombre propio sino el de la aplicación: Zoom is requesting remote control of your screen.

Recomendación. A partir de un caso público (ver), SEAL recomienda desactivar esta función de acceso remoto. Los indicadores de compromiso se pueden encontrar en el link de Security Alliance.

Encuentran un bug en GTA San Andreas, 20 años después, por Windows 11

Un bug oculto de GTA San Andreas, el popular videojuego de Rockstar Games lanzado en 2004 en Playstation 2, salió a la luz con una actualización menor de Windows 11.

Qué pasó. Un jugador descubrió que un asset del juego, el avión Skimmer, ya no aparecía tras instalar la versión 24H2 de Windows 11. El error ocurría en copias originales o modificadas (modding) del juego, pero sólo en esa versión del sistema operativo (en Windows 10 no ocurría, por ejemplo).

Cómo. El error estaba en una función que calcula la rotación de las aspas del avión, que depende de su posición en el espacio: al estar mal posicionado, las aspas giraban a una velocidad absurda y hacían crashear el juego. El update de Windows 11 24H2 evidenciaba este crash.

Por qué importa. Según el research, el bug, que parece menor y sobre un juego que tiene 21 años, es un recordatorio de que es importante validar la información de los inputs por un lado y de no ignorar las advertencias del compilador.

El bug fue corregido por la comunidad de modders.

🔓 Breaches y hacks

• Telecom Surcorea sufre un breach que filtra datos de las SIM de sus clientes

• Dos APT vinculados a Rusia usan una técnica de phishing nueva para hackear cuentas de Microsoft 365

• Lazarus ataca seis compañías en una nueva campaña de espionaje

🔒 Ransomware

• PE32 Ransomware, análisis técnico de una nueva amenaza que se distribuye por Telegram

• FOG Ransomware lanza una campaña donde se hace pasar por el departamento de eficiencia DOGE

• Interlock Ransomware se atribuye el ataque al centro médico DaVita

💣 Exploits y malware

• Descubren 69 nuevos npm packages con malware

• Abusan una vulnerabilidad que explota una función legacy de Google

• Análisis técnico de Lumma Stealer

🔍 Threat intel y vulnerabilidades

• El admin de Meduza Stealer desapareció hace un mes y arriesgan un rug pull

• Tenable encuentra un escalado de privilegios en Google Cloud Platform

• Reportes: IBM X-Force, Microsoft MSTIC, SafeDep, Check Point, Cloudflare, Rubrik.

🛠️ Tools y updates

• Discord está probando una función de verificación por Face ID para ver material sensible

• Publican una guía para investigar dentro de Telegram y facilitar la navegación

• “Document My Pentest”, una herramienta open source que registra ataques y descubrimientos

📋 Privacidad y regulaciones

• La UE tenía preparadas sanciones para Meta y Apple pero las suspendió por las tarifas de Trump

• Rusia acusa a Google de exponer información sobre víctimas de la guerra

• La FTC sanciona a Uber por cobrar un servicio sin consentimiento

Share