Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

30 may>
6 jun

⚡TL;DR

El avance de la inteligencia artificial suma “soluciones” cada semana. Y también, problemas. Este miércoles apareció un caso judicial que suma otra pincelada a las enormes dificultades que la IA implica para el terreno de los derechos de autor: Reddit demandó a Anthropic por extraer datos de sus posteos para alimentar al chatbot Claude “de manera ilegal”.

Si bien no son los jugadores más populares, el caso plantea un callejón sin salida que contrapone el interés público de herramientas como los bots para generar textos y las fuentes de las cuáles se alimentan: ¿están pagando las empresas de IA para hacer estos entrenamientos? ¿Qué pasa cuando Claude o ChatGPT reproducen parcialmente las obras protegidas por copyright, algo prohibido por leyes de derechos de autor? Contacté a un especialista en derechos digitales para indagar en este problema, que enfrenta a empresas de Silicon Valley en una batalla legal tras otra (como la del New York Times con OpenAI).

En el mundo corporativo, cuatro pesos pesados anunciaron que van a intentar ponerse un poco más de acuerdo a la hora de nombrar a los APT: Crowdstrike, Microsoft, Google y Palo Alto. Es un tema espinoso, en tanto estas compañías compiten entre sí y, en un punto, cuanta más intel se guarden, más márketing tienen. Pero es cierto que la nomenclatura de amenazas es, a veces, confusa y redundante.

Y hubo una noticia con un fuerte componente técnico sobre cómo dos empresas trackearon usuarios al vincularlos con sus datos de navegación: Meta (EE.UU.) y Yandex (Rusia): “Eso ya se hizo; lo interesante es cómo las corporaciones de un lado y del otro gobiernan el mundo”, me dijo una fuente.

A nivel regional, el grupo de ransomware Lynx anunció a la Universidad de Chile (intel vía

En el mundo de los troyanos bancarios, apareció un análisis técnico que aborda la expansión global de Cocodrilus Mobile Malware.

En el terreno de los breaches, dos plataformas cripto sumaron un botín de 15.2 millones de dólares robados. La industria que promete anonimato y seguridad acumula hackeos casi a diario.

En esta edición:

• 👩‍⚖️ Reddit demanda a Anthropic por el uso de su contenido de los comentarios

• 📲 Meta y Yandex trackearon usuarios sin su permiso

• 🥷 Microsoft, Crowdstrike, Google y Palo Alto quieren mapear los nombres de actores de amenazas

• 🪙 BitPro y Magickbase: dos robos cripto suman 15.2 millones de dólares

• 🔓 Las negociaciones de Akira Ransomware no son privadas

• 📝 Rusia, Venezuela, Cuba e Irán firman acuerdo conjunto sobre ciberseguridad

⏰ Substack dice que leer este correo completo lleva 13 minutos

Dark News #145

Sheriff es la plataforma de inteligencia de amenazas de BCA LTD para visualizar incidentes en un solo lugar, organizados y con evidencia adjunta. Sin censura, sin marcas de agua, con acceso directo a las muestras publicadas por actores de amenazas. Para más información, clic en la imagen.

Reddit demanda a Anthropic por el uso de su contenido de los comentarios

Reddit presentó una demanda contra Anthropic, la empresa detrás del chatbot Claude, por haber extraído “ilegalmente” datos del sitio sin autorización para entrenar modelos de IA.

Cómo. El agregador de contenidos acusa a la empresa de IA de haber ignorado pedidos explícitos para no automatizar el acceso a su contenido, y de haber usado datos personales de usuarios sin consentimiento. La demanda fue presentada en un tribunal de California.

Dark News contactó a Luis García Balcarce, abogado especializado en derechos digitales, que calificó a la pelea como “un choque frontal entre el derecho de autor del siglo XX y las realidades tecnológicas del siglo XXI”.

Nuestro marco de copyright y derecho de autor fue diseñado en un contexto de copias físicas y limitadas, y ahora tenemos algoritmos que pueden procesar millones de datos en segundos y generar contenido nuevo basado en ese aprendizaje. Entonces, la pregunta es si constituye "copia" en el sentido tradicional.

En este sentido, la comparación con las descargas online tanto P2P como por torrents no funciona del todo:

La diferencia con casos anteriores es significativa, aunque no absoluta. Cuando alguien descarga una obra por torrent, está obteniendo una copia exacta de la obra original. Cuando una IA se entrena con datos de Reddit, en este caso, es más bien como leer miles de libros para aprender a escribir: principalmente extrae patrones para generar texto nuevo, aunque en algunos casos puede memorizar y reproducir fragmentos específicos del entrenamiento, especialmente con contenido único o muy repetitivo. Reddit genera valor económico de ese contenido vendiendo licencias a OpenAI y Google. Si Anthropic puede usar ese mismo contenido gratis, está afectando directamente ese modelo de negocio.

La defensa de Reddit. “Las empresas de IA no deberían poder usar datos de las personas sin límites claros sobre cómo se emplean”, dijo Ben Lee, director legal de la empresa. Los acuerdos de licencia, según la plataforma, garantizan protecciones como el derecho al borrado y la privacidad de los usuarios.

Este escenario plantea, para García Balcarce, nuevas preguntas:

¿Cuánta transformación hace falta para que el uso sea legítimo? ¿Importa la escala del procesamiento? ¿Hasta dónde llegan los derechos que Reddit obtuvo de sus usuarios a través de sus términos de servicio para licenciar ese contenido a terceros? Esta última cuestión es bastante compleja porque los usuarios mantienen el copyright de sus publicaciones, pero Reddit obtiene derechos bastante amplios de uso y sublicenciamiento a través de sus términos de servicio.

Balcarce agrega que “una de las posibilidades es que veamos una evolución hacia acuerdos de licenciamiento negociados privadamente entre plataformas y empresas de IA, quizás con algún mecanismo de compensación a creadores de contenido”, aunque esto último lo ve como “difícil”.

Reddit. Con más de 100 millones de usuarios activos diarios, Reddit se ha convertido en una mina de oro de texto para los sistemas de IA como ChatGPT o Claude.

Fundado en 2005, es el agregador de contenidos más popular del mundo.

Meta y Yandex trackearon usuarios sin su permiso

Investigadores descubrieron que dos de los mayores sistemas de tracking del mundo —Meta Pixel y Yandex Metrica— rompieron el anonimato de usuarios al vincular sus identidades con sus datos de navegación online en apps móviles en Android. Esto lo hicieron al abusar de protocolos legítimos del navegador y del sistema operativo.

Trackers. Son pequeños fragmentos de código que siguen lo que el usuario hace en una página, desde qué lee, qué cliquea o qué busca hasta cuánto tiempo se queda en un sitio. Estos sistemas no los instala el sitio por sí solo, sino que suelen venir de terceros: empresas como Meta (Facebook), Google o Yandex, que ofrecen herramientas de análisis o publicidad.

Dark News contactó al investigador Teno para entender el alcance del caso:

Básicamente, los investigadores se dieron cuenta de que Meta (Facebook - Instagram) y Yandex (empresa rusa) estaban usando un sistema bastante oscuro para rastrear lo que el usuario hace en Internet desde su teléfono Android, incluso aunque esté en modo incógnito o con una VPN. Es decir, aunque pensaras que estabas cubierto, podían ver igual.

En cuanto a cómo operaban, explicó:

Para espiar a los usuarios activaban un código (llamado Meta Pixel) en un montón de páginas web. Si se entraba a alguna de ellas desde Android, ese código armaba una cookie -un identificador- y la conectaba con la cuenta de Facebook o Instagram del usuario, si las tenía instaladas en el teléfono. Todo esto sin pedir permiso ni avisar.

Cómo hacían. Meta y Yandex usan distintos protocolos —HTTP, WebSocket y WebRTC— para forzar al navegador a enviar estas cookies a puertos locales. Sus apps escuchan en esos puertos, capturan la info en tiempo real y la asocian con el usuario logueado.

Ni los usuarios ni los dueños de los sitios estaban al tanto de esta práctica. Diversos researchers advirtieron que esto no es nuevo. Señala el hacker:

Yandex, por su parte, ya venía haciendo algo parecido desde 2017: metía su código (SDK) en apps, y recolectaba cosas como el ID de publicidad, MAC del Wifi, IMEI del celu, y hasta la ubicación. Después juntaban todo eso y armaban un perfil bien detallado de vos, sabiendo por dónde navegaba el usuario y qué hacía. Lo peor: vinculaban la navegación con tu identidad real. O sea, sabían quién eras, con nombre y apellido, y a qué páginas habías entrado.

Estado actual. Meta pausó la práctica “mientras trabaja con Google”, en tanto Yandex asegura que dejó de hacerlo y que no “desanonimiza usuarios”. Google lo calificó como un abuso que “viola los principios de seguridad y privacidad” de Android.

Microsoft, Crowdstrike, Google y Palo Alto quieren mapear los nombres de actores de amenazas

CrowdStrike, Microsoft, Google y Palo Alto anunciaron una alianza para unificar la forma en la que nombran a los grupos APT, con el fin de facilitar el trabajo de threat analysts.

Por qué importa. La rama del análisis de amenazas enfrenta un problema en la industria de la ciberseguridad y es que cada “vendor” utiliza distintos sistemas de nomenclaturas para referirse a los mismos grupos de atacantes.

Actualmente, un mismo grupo puede tener múltiples nombres según el proveedor de ciberseguridad: por ejemplo, COZY BEAR, APT29, UNC2452 o Midnight Blizzard son distintos alias para una misma operación. Esta fragmentación complica la atribución, entorpece la respuesta a incidentes y hace más difícil comunicar riesgos con claridad. Dice Microsoft, en un posteo en su sitio:

Una de las principales causas del retraso en la respuesta es comprender la atribución del actor de la amenaza, que a menudo se ve ralentizada por datos imprecisos o incompletos, así como por incoherencias en la nomenclatura de las distintas plataformas. […] Alinear la forma en que describimos y categorizamos las ciberamenazas puede mejorar la comprensión, la coordinación y la postura general de seguridad.

Qué significa. No se busca imponer un único sistema de nombres, sino construir una “piedra Rosetta”, dice Crowdstrike, para las nomenclaturas. La idea es mapear los distintos alias que usan los vendors para referirse a los mismos actores, empezando por los más activos y sofisticados.

Dificultad. Si bien la iniciativa representa un avance, es difícil pensar en que las empresas acepten unificar criterios: a fin de cuentas, cada una vende soluciones en un mercado sobresaturado de compañías y, el diferencial, es identificar amenazas que la competencia no detecta.

Por este motivo, los IOC y la información no suele compartirse, en tanto es un activo valioso de cada empresa. Unificar nombres apunta a estandarizar y afecta parte del negocio de las empresas de antivirus y detecciones de amenazas en dispositivos (EDR).

BitPro y Magickbase: dos robos cripto suman 15.2 millones de dólares

Dos robos cripto se conocieron esta semana. El exchange taiwanés BitoPro confirmó un breach y robo de al menos 11.5 millones de dólares en criptomonedas y lo ocultó durante 25 días, mientras que la plataforma Force Bridge sufrió otro de 3.7 millones.

BitPro. El 2 de junio, el researcher ZachXBT alertó sobre actividad inusual en wallets de BitoPro en las redes Tron, Ethereum y Solana. El exchange confirmó el hack más tarde ese mismo día: su hot wallet fue comprometida durante una migración del sistema.

Según la empresa, sus “mecanismos de respuesta de emergencia” evitaron una pérdida mayor y “los fondos de los usuarios no se vieron afectados”. No detalló ni la fecha exacta del incidente ni el monto robado, aunque ZachXBT lo estimó en 11.5 millones de dólares.

Force Bridge. Cibercriminales aprovecharon las vulnerabilidades de Force Bridge, (una plataforma de Nervos Network para cross-chain), y robaron unos 3.7 millones de dólares en activos de Ethereum y la blockchain BNB. Los fondos se blanquearon rápidamente a través de mixers como Tornado Cash y FixedFloat.

Las negociaciones de Akira Ransomware no son privadas

Akira Ransomware, un grupo que tuvo mucha actividad en América Latina estos últimos años, expuso chats de negociaciones entre operadores y víctimas.

Qué pasó. SuspectFile reveló que los ciberdelincuentes detrás del ransomware Akira no protegieron la confidencialidad de las conversaciones con sus víctimas, a pesar de haberlo prometido. Los chats siguen disponibles públicamente, incluso después de los pagos.

El sitio publicó dos reportes donde se ve que Akira no protegió la identidad de sus víctimas ni las conversaciones para negociar el pago de un rescate.

El caso. Una empresa alemana fue atacada por el grupo Akira, que cifró sus sistemas y exigió un rescate inicial de 6.9 millones de dólares. Según los criminales, borraron 120 TB de backups, comprometieron 118 servidores y cifraron 787 estaciones de trabajo. El incidente fue reconstruido a partir del propio chat de negociación entre el grupo y la empresa, publicado sin restricciones por los atacantes.

Qué ofrecía el grupo. Akira ofrecía, entre sus servicios de “soporte”: asistencia completa para el desencriptado, un log de eliminación de datos, un informe técnico sobre las vulnerabilidades y la garantía de no publicación o reventa de los datos

Incumplimiento. Tras el pago, Akira envió un archivo llamado Deletion.z7 y un informe técnico, aunque ambos resultaron ser copias casi idénticas a los usados en ataques anteriores. La empresa pidió que se borrara el chat, pero los delincuentes nunca lo hicieron. De hecho, el registro completo de la negociación, incluyendo nombres y detalles sensibles, sigue online.

Rusia, Venezuela, Cuba e Irán firman acuerdo conjunto sobre ciberseguridad

Doce países liderados por Rusia, Cuba, Irán, Venezuela y Corea del Norte firmaron una declaración conjunta en la ONU en apoyo a la nueva Convención contra el Ciberdelito, impulsada por Moscú.

Por qué importa. El tratado compite con el enfoque occidental en materia de ciberseguridad y propone “recuperar el control desde un enfoque soberano y multilateral”, con más lugar a la intervención estatal. Prioriza la “no injerencia y el respecto a la legislación nacional de cada Estado”.

Quiénes firmaron. Rusia, Bielorrusia, Burkina Faso, Cuba, Corea del Norte, Egipto, Irán, Irak, Kirguistán, Laos, Nicaragua y Venezuela.

Contexto. Rusia busca posicionarse como líder en una visión alternativa del ciberespacio, en respuesta a lo que considera una “arquitectura digital dominada por potencias occidentales y corporaciones tecnológicas”.

🔓 Breaches y hacks

• NorthFace sufrió un breach a partir de un credential stuffing

• Marriot gana una disputa judicial tras un data breach

• Roban 47 millones de libras del HM Revenue and Customs británico

🔒 Ransomware

• Play Ransomware ya acumula 900 víctimas en su haber

• Interlock atacó a una entidad de salud: Kettering Health

• Atacan un centro de salud en Dubai

💣 Exploits y malware

• Detectan nueva actividad de Haozi, un PhaaS

• Detectan otra campaña de ClickFix para infectar con AsyncRAT

• Ofrecen 10 millones de dólares por pistas sobre hackers asociados a RedLine

🔍 Threat intel y vulnerabilidades

• El FBI y otras fuerzas incautaron servidores de BidenCash

• Reportes: Kaspersky, Meta, Delinea, HUMAN, Abnormal AI, Rapid7

• Análisis técnico de OtterCookie Malware

🛠️ Tools y updates

• El kernel de Linux agregó una función de seguridad criptográfica que opera sobre el hardware

• Firefox agrega protección para cripto drainers

• Cisco lanza 10 advertencias de seguridad para sus productos

📋 Privacidad y regulaciones

• Multa histórica para Vodafone en Alemania por violar leyes de protección de datos

• PornHub se retira de Francia tras la instalación de verificación de edad obligatoria

• Un informe advierte sobre el creciente uso de piratería de IPTV a nivel mundial

Share