Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

12>19
dic

⚡TL;DR

Se va cerrando el año y el grupo cibercriminal ShinyHunters termina como uno de los protagonistas del underground: esta semana se supo que lograron robar datos de PornHub, el sitio de pornografía más conocido del mundo, y que extorsionan con filtrar datos de usuarios Premium, como el historial de navegación.

ShinyHunters no es un grupo de ransomware, sino de ingeniería social con técnicas refinadas de phishing y vishing para suplantar empleados y acceder a sistemas. No cifran sistemas, sólo se dedican al data extortion. Entre sus víctimas más grandes están instancias de Salesforce que afectaron a otras compañías.

Por otro lado, salió una investigación académica que advierte que casi todas las Smart TVs tienen browsers extremadamente desactualizados, lo que plantea un riesgo para el usuario.

En el mundo del ransomware, la noticia de peso de Latinoamérica fue que PDVSA, la petrolera venezolana, fue afectada por este tipo de malware. En Argentina, AySA (proveedora de agua potable) fue listada por el grupo de ransom Safepay y apareció un posteo sobre datos filtrados de ciudadanos de múltiples entidades de Gobierno en un sitio de compraventa de datos personales.

Destaco, más abajo, un estudio interesante de SentinelOne que apunta que los LLM hicieron que el ransomware sea más barato y escalable, pero no más innovador.

Entre notas que leí, comparto esta de Rest of World: un mapa de los datacenters “más calientes” del mundo. Al final, la batalla por el cómputo se va a transformar en la batalla por el aire acondicionado.

📅 Hoja de ruta de diciembre-enero

• El viernes que viene sale la última edición de 2025, con un repaso del año.

• Enero va a ser la primera vez que Dark News se tome un receso largo: el newsletter va a entrar en un hiato hasta el 6 de febrero. No voy a cubrir temas de actualidad, salvo que haya alguna noticia de último momento.

En esta edición:

• 🔓 PornHub: ShinyHunters amenaza con filtrar el historial de los usuarios premium del sitio porno

• 📺 La mayoría de las TVs y dispositivos smart tiene navegadores web inseguros

• 🛢 Un ransomware a PDVSA paraliza los sistemas y complica exportaciones de crudo

• 📱 Gran Bretaña quiere bloquear imágenes explícitas a nivel sistema operativo en iOS y Android

• 🗼 El Ministerio del Interior de Francia sufre un ciberataque

• 🤖 El ransomware evoluciona a ser más barato y escalable, pero no más innovador

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #181

Espacio publicitario

¿Te fascina saber cómo piensan los atacantes? Nuestra plataforma y equipo operan desde una mirada ofensiva, para anticiparse a los riesgos reales. Faraday escanea y organiza vulnerabilidades, automatiza tareas repetitivas y convierte información técnica en decisiones claras. Porque la mejor defensa es siempre estar un paso adelante.

Más información, clic en este enlace.

PornHub: ShinyHunters amenaza con filtrar el historial de los usuarios premium del sitio porno

El sitio de videos para adultos PornHub está siendo extorsionado por el grupo ShinyHunters, que asegura haber robado datos de actividad (búsquedas e historial) de más de 200 millones de registros vinculados a usuarios Premium.

El incidente no se originó en los sistemas de PornHub, sino en una brecha del proveedor de analítica Mixpanel.

Qué pasó. ShinyHunters comenzó a enviar correos de extorsión a clientes de Mixpanel, donde les aseguraban que habían podido acceder a 94 GB de datos tras una intrusión en noviembre de 2025. Entre las víctimas estaría PornHub, cuyos datos corresponderían a información histórica recolectada hasta 2021.

Qué datos se filtraron. Según muestras compartidas con investigadores, los registros incluyen direcciones de email, tipo de actividad (ver, descargar, buscar), URLs y nombres de videos, palabras clave, ubicación y marcas temporales.

Qué no se comprometió. PornHub aclaró que no se expusieron contraseñas ni datos de medios de pago y que la plataforma no usa Mixpanel desde 2021. Mixpanel, por su parte, niega que los datos provengan del breach de noviembre y sostiene que el último acceso fue realizado por una cuenta legítima en 2023.

Quién está detrás. Es la primera confirmación pública de que ShinyHunters estuvo detrás del ataque a Mixpanel. El grupo ya protagonizó algunas de las mayores filtraciones de 2025, explotando integraciones con Salesforce y vulnerabilidades críticas.

Por qué importa. El caso expone los riesgos persistentes del uso de plataformas de analítica externas y cómo datos históricos pueden transformarse en material de extorsión años después.

La mayoría de las TVs y dispositivos smart tiene navegadores web inseguros

Un estudio académico de investigadores belgas reveló que la mayoría de los dispositivos “inteligentes” vienen con navegadores web embebidos extremadamente desactualizados, lo que los deja expuestos a vulnerabilidades.

Qué pasó. El trabajo, liderado por la Universidad Católica de Lovaina (KU Leuven), analizó navegadores integrados en smart TVs, e-readers, consolas y otros dispositivos modernos. El resultado: los cinco e-readers evaluados y 24 de 35 modelos de televisores inteligentes usaban navegadores con al menos tres años de atraso.

Actualizaciones. Aunque muchos fabricantes prometen firmware gratuito, en la práctica casi ninguno actualiza el navegador embebido. A diferencia de Chrome, Firefox o Safari, estos navegadores no reciben updates automáticos: dependen de que el fabricante integre la nueva versión en el firmware y publique una actualización, algo que muchos evitan por costos de desarrollo.

El riesgo. El estudio reprodujo exploits conocidos y logró comprometer los navegadores embebidos en varios dispositivos. En muchos casos, además, el navegador forma parte de la interfaz del sistema y ni siquiera tiene UI propia, por lo que el usuario no puede actualizarlo manualmente.

Reguladores sin respuesta. Los hallazgos fueron reportados a autoridades de Bélgica y Estados Unidos. Solo el Centro Belga de Ciberseguridad intentó mediar con los fabricantes; la FTC no respondió.

Un ransomware a PDVSA paraliza los sistemas y complica exportaciones de crudo

La petrolera estatal venezolana PDVSA sufrió un ciberataque que afectó sus sistemas administrativos y obligó a suspender entregas de crudo, según fuentes internas. Aunque la empresa aseguró que sus operaciones no fueron impactadas, varios sistemas seguían caídos y algunos barcos tuvieron que frenar sus recorridos.

Ransomware. De acuerdo con una fuente de PDVSA, se trató de un ataque de ransomware detectado días atrás. El intento de mitigación afectó a todo el sistema administrativo, lo que forzó a los empleados a llevar registros manuales y a desconectarse de las plataformas internas.

El contexto. El incidente ocurre en medio de una fuerte escalada de tensiones entre Estados Unidos y Venezuela, tras el decomiso por parte de la Guardia Costera estadounidense de un supertanquero (buques petroleros de gran calibre) con casi 1,9 millones de barriles de crudo venezolano y un mayor despliegue militar de EE.UU. en el Caribe.

Impacto inmediato. Las cargas para exportación quedaron suspendidas y varios buques interrumpieron sus rutas. Más de 11 millones de barriles permanecen varados en aguas venezolanas. Algunas exportaciones continúan en “modo oscuro”, con sistemas de localización apagados, y los buques operados por Chevron siguen operando bajo autorización especial de Washington.

Qué dice el gobierno. PDVSA y el gobierno venezolano atribuyeron el ciberataque a “intereses extranjeros” vinculados a EE.UU., aunque no presentaron pruebas. Washington no respondió de inmediato a las acusaciones.

Por qué importa. El ataque agrega presión a un sector ya afectado por sanciones, controles logísticos y riesgos geopolíticos, y muestra cómo los ciberataques pueden amplificar crisis energéticas en contextos de alta tensión internacional.

Gran Bretaña quiere bloquear imágenes explícitas a nivel sistema operativo en iOS y Android

El gobierno del Reino Unido quiere que empresas como Apple y Google incorporen bloqueos de contenido sexual directamente en los sistemas operativos de celulares y computadoras. La idea es que la desnudez esté bloqueada por defecto y que sólo los adultos puedan acceder tras verificar su edad.

Qué proponen. El Ministerio del Interior planea alentar el uso de algoritmos de detección de desnudez que impidan tomar, compartir o visualizar imágenes explícitas salvo que el usuario esté validado como adulto, mediante biometría o identificación oficial.

El contexto. La iniciativa forma parte de una nueva estrategia para combatir la violencia contra mujeres y niñas. Aunque se analizó volver obligatorios estos controles para dispositivos vendidos en el país, por ahora el gobierno descartó imponerlos por ley.

Por qué importa. Reino Unido busca reducir la exposición temprana de menores a pornografía y el riesgo de grooming, sin avanzar en una prohibición total de redes sociales para menores de 16 años, como hizo Australia.

El problema. Hoy ni Apple ni Google ofrecen un bloqueo de desnudez que funcione en todo el sistema operativo y en apps de terceros como WhatsApp o Telegram. Además, medidas similares, como los controles de edad en sitios porno, ya fueron salteadas con VPNs y verificaciones falsas, lo que abre dudas sobre su eficacia y su impacto en privacidad.

El Ministerio del Interior de Francia sufre un ciberataque

El Ministerio del Interior de Francia investiga un acceso no autorizado a sus servidores de correo electrónico que permitió a un atacante acceder de forma no autorizada a varias cuentas profesionales y a decenas de documentos confidenciales.

Cómo se detectó. El caso salió a la luz después de que un usuario en BreachForums afirmara haber hackeado al ministerio. Las autoridades dijeron que esa publicación está siendo verificada en profundidad para determinar su veracidad y alcance real.

Qué se comprometió. Investigaciones técnicas iniciales confirmaron que el atacante pudo acceder a un número limitado de cuentas de email y consultar archivos sensibles vinculados a antecedentes judiciales y personas buscadas. El ministro Laurent Nuñez indicó que los intrusos permanecieron dentro de la red durante varios días.

Alcance. El propio ministerio advirtió que todavía no es posible sacar conclusiones definitivas sobre la naturaleza, el volumen ni el tipo exacto de datos que pudieron haber sido capturados, mientras continúan las pericias técnicas y judiciales.

El ransomware evoluciona a ser más barato y escalable, pero no más innovador

Los modelos de lenguaje están haciendo al ransomware más rápido, barato y escalable, pero no necesariamente más innovador: un nuevo reporte de SentinelLABS concluyó que la IA está optimizando cada fase del ciclo extorsivo, desde el phishing hasta la negociación, sin introducir tácticas radicalmente nuevas.

El dato. SentinelLABS analizó cómo los grupos de ransomware están incorporando LLMs en sus operaciones. El hallazgo central: la IA acelera y automatiza procesos existentes, pero no cambia de forma sustancial el playbook del ransomware.

Cómo se usa la IA. Los atacantes adoptan flujos típicos del mundo corporativo: redacción de correos de phishing, análisis de grandes volúmenes de datos robados, traducción automática y personalización de notas de rescate según idioma, sector y perfil de la víctima. Esto elimina fricciones, sobre todo en ataques multilingües.

Dónde está el riesgo. Los grupos más sofisticados migran a modelos open source y autoalojados (como Ollama), con menos guardrails y menor visibilidad para los defensores. También crece el uso de agentes automatizados para negociar rescates y analizar qué datos extorsionar.

Ecosistema más caótico. El ransomware se fragmenta: menos grupos dominantes y más grupos pequeños, efímeros y con branding confuso o directamente falso. La generación masiva de contenido con LLMs agrava los problemas de atribución.

Qué viene. SentinelLABS anticipa “prompt smuggling as a service”, malware optimizado para modelos locales, agentes de negociación multilingües y más ruido operativo. El desafío no será malware más inteligente, sino extorsión industrializada a mayor velocidad.

🔓 Breaches y hacks

• SoundCloud sufre un breach

• Publican datos de SudamericaData, empresa argentina, en la dark web

• Corea del Norte robó 2 mil millones de dólares en cripto en hackeos de 2025

🔒 Ransomware

• Anuncian a AYSA, proveedor de agua de Argentina, como víctima

• Nuevo grupo de ransomware: TheGentlemen

• RansomHub actualiza su sistema de cifrado

💣 Exploits y malware

• Explotan una falla recientemente parcheada de Fortinet

• Nuevo Phishing-as-a-Service: BlackForce

• Análisis técnico de GachiLoader, que se distribuye por videos de YouTube

🔍 Threat intel y vulnerabilidades

• CISA actualiza la lista de KEV

• Parchean una vulnerabilidad en el Amazon Kindle

• Google da de baja su servicio de monitoreo de la dark web

🛠️ Tools y updates

• Apple lanza una actualización de dos zero-days

• Nuevo Keylogger: Phantom

• Reportes: HP, Trellix, Forescout, Virus Bulletin, Cloudflare, ThreatRecon.

📋 Privacidad y regulaciones

• Corea del Sur introduce multas por filtraciones

• Demandan a cinco fabricantes de TVs por sacar capturas de pantalla de lo que ven los usuarios: Sony, Samsung, LG, Hisense y TCL.

• Reportan a TikTok por trackear compras de usuarios

Share