Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

14>21
nov

⚡TL;DR

Perfilaba una buena semana para Meta. El lunes, un juez federal de EE.UU. rechazó una demanda antimonopolio que buscaba obligarla a desprenderse de Instagram y WhatsApp. Sin embargo, el martes, Wired publicó una investigación con un título fuerte: WhatsApp dejó abierta una función que permitió mapear 3.500 millones de cuentas y ver fotos de perfil.

Me llevó un buen rato ir calibrando el título porque, en principio, Andy Greenberg de Wired explica que se debió a una vulnerabilidad. Y aunque es tentador titular que hay una falla o vulnerabilidad en una de las aplicaciones más usadas del mundo, es relativo que haya sido eso: es, más bien, una falta de límite “anti-scrapeo” a una función que usamos todos. La de “descubrir contacto”.

La noticia es que un grupo de investigadores de la Universidad de Viena logró mapear todas las cuentas de WhatsApp del mundo. ¿Cuántas de esas están activas? ¿Qué aporta ese dato? Es un tema que tiene bastante alcance pero, a la vez, es una herramienta que está disponible en la app desde el momento cero, con lo cual la empresa salió a decir que, en rigor, no es una falla sino una función.

Lo que seguro no estaba pensado era que se pudiera scrapear masivamente, porque Meta arregló eso y ya no se puede. Más abajo detallo bien la explicación del caso que, incluso, le valió una denuncia formal en Argentina.

Por otro lado, el tema más grande de la semana fue la caída de Cloudflare, que impactó principalmente en ChatGPT, Spotify, X (Twitter) y otras plataformas. No hay mucho más para agregar a lo que dijo la propia empresa, pero sí una idea fundamental: cada vez dependemos más de la centralización de los servicios.

Además, Logitech reconoció un breach, Salesforce investiga (otro) robo de datos y Australia prohíbe las redes sociales para menores de 16.

La perla de la semana, para cerrar, me la pasó Ignacio Esains,

El final de la nota es desolador: una llamada telefónica que termina por desnudar cómo, a fin de cuentas, esta situación habla mucho más del estado terminal del periodismo que de la IA. El editor la llama por teléfono y la confronta:

“Estuve revisando algunas de las citas dentro de esas notas y a algunas de las personas con las que hablaste”, continué. “Por ejemplo, en la nota sobre la Law Society of Scotland citás a esta profesora. Del otro lado de la línea, Victoria se quedó en silencio. Le conté que, de hecho, le había enviado un correo a la profesora. “Y me dijo que nunca habló con vos”. En el silencio que siguió me di cuenta de que Victoria había cortado. Desde entonces no respondió ninguno de mis correos”.

En esta edición:

• 📲 WhatsApp dejó abierta una función que permitió mapear 3.500 millones de cuentas y ver fotos de perfil

• 💭 Cloudflare: qué se sabe de la caída de esta semana

• 🎮 Logitech reconoce un breach

• 🔓 Salesforce investiga un nuevo robo de datos

• 🚫 Australia aplica un ban a redes sociales para menores de 16

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #176

Espacio publicitario

¿Te fascina saber cómo piensan los atacantes? Nuestra plataforma y equipo operan desde una mirada ofensiva, para anticiparse a los riesgos reales. Faraday escanea y organiza vulnerabilidades, automatiza tareas repetitivas y convierte información técnica en decisiones claras. Porque la mejor defensa es siempre estar un paso adelante.

Más información, clic en este enlace.

WhatsApp dejó abierta una función que permitió mapear 3.500 millones de cuentas y ver fotos de perfil

Investigadores de la Universidad de Viena aprovecharon una falta de control en el “descubrimiento de contactos” de WhatsApp y lograron mapear 3.500 millones de cuentas activas. El proceso permitió ver fotos de perfil y “estados” de usuarios que no tenían configuraciones privadas.

La app ya corrigió el problema.

Por qué importa. La función permitía consultas automáticas e ilimitadas para verificar si un número estaba en WhatsApp, información que la compañía no considera “pública”. Con scraping masivo, esto se convirtió en una base de datos global valiosísima para estafadores y operadores de fraude.

El impacto en Argentina. Se identificaron 43,8 millones de cuentas locales, de las cuales el 54,8% tenía foto de perfil pública y el 32,8% el texto “Acerca de”. Es el 1,27% del total global.

Ya hay una denuncia contra Meta ante la Agencia de Acceso a la Información Pública para determinar si hubo exposición local y si actores maliciosos explotaron la falla.

Explicó a Dark News Daniel Monastersky, abogado especialista en protección de datos personales:

Entre esos millones de números comprometidos hay miles de argentinos: tus contactos, tus amigos, tu familia. Estuvieron expuestos durante años sin que Meta notificara a nadie, sin avisar, sin pedir disculpas y los usuarios argentinos no tenían ni idea de que sus números estaban en riesgo. Eso viola directamente la ley de protección de datos que tiene Argentina.

La respuesta de Meta. La empresa asegura que no hubo un leak sino scraping sobre información visible según la privacidad del usuario, y que los investigadores borraron los datos. Sostiene que no se comprometieron mensajes y que las nuevas defensas para evitar recolección automatizada ya están en funcionamiento.

Lo que dicen los investigadores. Describen la situación como “la exposición más extensa de números de teléfono y datos relacionados jamás documentada”. Remarcan que durante años no hubo límites para consultas automatizadas y que WhatsApp respondió todas las enumeraciones sin bloquearlas.

El contexto. El caso revive un problema estructural: WhatsApp depende de los números de teléfono como identificadores, algo que no fue diseñado para funcionar como credencial privada. La empresa ya está probando un sistema de nombres de usuario para reducir la exposición.

Además. Un juez federal de EE.UU. rechazó la demanda antimonopolio de la FTC que buscaba obligar a Meta a desprenderse de Instagram y WhatsApp. La resolución sostiene que la agencia no logró demostrar que la empresa mantiene hoy un monopolio en redes sociales.

MÁS INFORMACIÓN

Cloudflare: qué se sabe de la caída de esta semana

Una interrupción global en Cloudflare, uno de los proveedores de infraestructura más grandes del mundo, provocó un martes negro para millones de usuarios. Servicios masivos como X, Spotify, League of Legends y ChatGPT registraron caídas o problemas de conectividad. La compañía dijo más tarde que el incidente estaba resuelto y que descartó un hackeo.

Por qué importa. Cloudflare es un pilar de la infraestructura de Internet. Maneja en promedio 81 millones de solicitudes HTTP por segundo y acelera y protege millones de sitios web.

El incidente refuerza la dependencia crítica del ecosistema digital en unas pocas empresas.

El contexto. La caída fue lo suficientemente grande como para afectar a plataformas de escala global, algo que se vio reflejado en los picos de DownDetector. Se sumó al clima de fragilidad en infraestructura: hace un mes hubo otra interrupción masiva en Amazon Web Services.

La causa. Según Cloudflare, todo se originó en un archivo de configuración automatizado que creció más de lo previsto, lo que provocó fallas internas en su sistema y errores en cadena.

El impacto. Durante varias horas, usuarios en todo el mundo tuvieron problemas para acceder a servicios populares, iniciar sesión, usar APIs, conectarse vía VPN (WARP) y cargar dashboards administrados por Cloudflare. La recuperación fue progresiva durante la tarde.

Paso a paso. Cloudflare dijo que pasó esto:

1) Detección del problema (11:48 UTC): identifican degradación interna, varios servicios empiezan a fallar.

2) Investigación y contención: errores fluctuantes, deshabilitan WARP en Londres para mitigar impactos.

3) Causa identificada: hallan el archivo de configuración sobredimensionado y aplican el fix.

4) Recuperación gradual: se normalizan Access, WARP, el dashboard y luego los servicios de aplicaciones.

5) Cierre del incidente: errores y latencia vuelven a niveles normales. Cloudflare declara todo resuelto y promete un informe final.

Salesforce investiga un nuevo robo de datos

Salesforce investiga un nuevo incidente de robo de datos que afecta a clientes a través de integraciones con aplicaciones de Gainsight. La compañía detectó actividad inusual vinculada a tokens OAuth usados por estos plugins y decidió revocar todos los access/refresh tokens asociados, además de retirar temporalmente las apps de Gainsight del AppExchange.

Gainsight es una empresa de software enfocada en Customer Success y gestión de la experiencia del cliente.

Por qué importa. Es otro capítulo del problema de supply chain: integraciones externas que heredan privilegios dentro de plataformas críticas como Salesforce. El caso recuerda al breach de Salesloft/Drift AI, que permitió a atacantes robar tokens OAuth y pivotear hacia instancias corporativas de Salesforce.

Ese incidente derivó en el robo de 1.5B de registros, afectó a más de 760 compañías y demostró cómo un eslabón débil en la cadena (el chat de Drift) puede comprometer a big tech, vendors de seguridad y empresas globales.

Qué se sabe del ataque. ShinyHunters asegura haber accedido a nuevas instancias de Salesforce aprovechando secretos obtenidos en el breach anterior. Gainsight dijo que los atacantes accedieron a información de contacto comercial: nombres, mails, teléfonos, ubicación, licencias y contenido de tickets.

Según ShinyHunters, parte de esos secretos del ataque anterior habría sido reutilizada para comprometer 285 nuevas instancias vía Gainsight. Es un patrón, no una excepción.

El contexto. Salesforce enfatizó que no se trata de una vulnerabilidad en su plataforma principal, sino de actividad maliciosa a través de la conexión externa de Gainsight. Los clientes afectados ya fueron notificados. Gainsight, por su parte, había confirmado antes que su infraestructura fue comprometida usando tokens robados en el incidente de Salesloft.

Logitech reconoce un breach

Logitech reconoció una brecha de seguridad luego de aparecer en el sitio de filtraciones de Cl0p Ransomware como víctima de la campaña de hackeo y extorsión que apunta a clientes de Oracle E-Business Suite. La empresa notificó al regulador estadounidense (SEC) que sufrió exfiltración de datos a través de una vulnerabilidad zero-day en un software de un proveedor externo.

Los datos comprometidos. Según la compañía, los atacantes copiaron “información limitada” de empleados, consumidores y socios comerciales, pero no números de identificación, tarjetas de crédito ni otros datos sensibles. El incidente no afectó operaciones, manufactura ni productos.

El contexto. Cl0p aseguró haber robado 1,8 TB de archivos de Logitech y ya los publicó en su sitio. Más de 50 organizaciones fueron incluidas en esta ola de ataques, entre ellas The Washington Post, Harvard University y GlobalLogic. La campaña se atribuye públicamente a Cl0p, pero analistas la vinculan al grupo FIN11, conocido por operaciones similares como MOVEit, Cleo y Fortra.

Por qué importa. El incidente muestra cómo una cadena de suministro corporativa puede abrir la puerta a brechas masivas incluso en empresas con fuerte madurez en ciberseguridad. También expone el patrón repetido: ataques a plataformas críticas de transferencia o gestión de datos, explotación de zero-days y extorsión a gran escala.

Australia aplica un ban a redes sociales para menores de 16

Meta empezará a desactivar cuentas de Facebook, Instagram y Threads de usuarios australianos menores de 16 años para cumplir con la nueva ley que prohíbe el uso de redes sociales a menores. El proceso arranca el 4 de diciembre y todas las cuentas afectadas quedarán sin acceso el 10 de diciembre.

Cómo será. Los usuarios recibirán avisos por in-app message, SMS y mail con 14 días de anticipación. Meta también bloqueará el registro de nuevas cuentas bajo 16. Messenger queda excluido, pero la empresa tuvo que crear un mecanismo para permitir su uso sin una cuenta de Facebook.

Qué pueden hacer. Los adolescentes afectados podrán descargar sus fotos, mensajes y Reels, o bien borrar su cuenta. Al cumplir 16, podrán recuperar todo tal como lo dejaron.

Cómo verifica Meta la edad. La empresa enviará avisos a cuentas que “entiende” que son de menores, sin explicar el método para evitar que se sortee la restricción. Si alguien es marcado por error, deberá verificar edad con selfie en video o documento oficial usando la tecnología de Yoti. Meta admite que habrá falsos positivos, pero sostiene que es la opción “menos intrusiva”.

Panorama. La prohibición abarca a Facebook, Instagram, Threads, TikTok, X, YouTube, Snapchat, Reddit y Kick. TikTok y Snapchat dijeron que cumplirán. YouTube cuestiona que esté incluida y no descarta acciones legales. X también se opone y no definió si acatará.

🔓 Breaches y hacks

• El ciberatque a Jaguar Land Rover le costó 220 millones de dólares a la empresa

• Un ciberataque afecta a un operador portuario de Rusia

• Doordash sufre un breach

🔒 Ransomware

• La subsidiaria de baterías de LG sufre un ransomware

• La marca deportiva Under Armour, víctima de un ransomware

• Detalles técnicos y TTPs del grupo Lynx

💣 Exploits y malware

• Microsoft dice que frenó el DDoS más grande hasta el momento: 15 Tbps

• Explotan un zero-day de los firewalls de Fortinet a través de la GUI

• Nuevo exploit en productos Fortinet

🔍 Threat intel y vulnerabilidades

• CrowdStrike publica un perfil de Blockade Spider

• Reportes: Trellix, Veracode, Rubrik.

• El “hacker de Twitter” tendrá que pagar 4,1 millones de libras

🛠️ Tools y updates

• Google va a empezar a flagear apps que consuman demasiada batería

• Chrome publica una actualización para parchear un zero-day activo

• SolarWinds actualiza recursos

📋 Privacidad y regulaciones

• Apple ahora requiere a las apps que digan si colectan datos para entrenar IA

• Públicos y privados se oponen a prohibir pagos de rescates de ransomware en Gran Bretaña

• Dos estados quieren prohibir el uso de VPNs en EE.UU.

Share