Worldcoin: Argentina es el país con más escaneos de iris en el mundo y la empresa trabaja en un ID global con gobiernos
Además: acusan a tres hackers de alto perfil, filtran información interna de Game Freak (Pokémon), ranking de malware de septiembre y vuelve Internet Archive.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
10>18
oct
⚡ TL;DR
Esta semana, OpenAI realizó un evento en San Francisco con un grupo de periodistas de todo el mundo centrado en Worldcoin. La app que escanea el iris de los ojos a cambio de criptomonedas para loguearse en distintos servicios presentó algunas novedades y un dato llamativo para estas latitudes: uno de cada tres escaneos de iris se hizo desde Argentina.
En Dark News publicamos varios reportes sobre Tools for Humanity, el proyecto de desarrollo de identidad digital sobre blockchain de OpenAI que desarrolla el producto Worldcoin. En particular, por los potenciales problemas de privacidad que representa la idea de escanear el iris del ojo, pero también por las distintas dificultades que plantea la identidad online, todavía atada a un sistema de usuarios y passwords que se muestra cada día más problemático.
Mariano Vidal, colega de Clarín que viene cubriendo temas de privacidad online, viajó a San Francisco para cubrir el evento y se trajo varios titulares. También viajaron Ricardo Sametband de La Nación y Sebastián Davidvosky de Vorterix: recomiendo ver lo que fueron publicando los tres, ya que hicieron un gran trabajo de cobertura del que probablemente sea uno de los eventos tech más importantes del año.
Esta semana salieron dos noticias que me llamaron la atención como una reflexión sobre la industria infosec. Por un lado, una crítica desde China hacia Estados Unidos, donde se señala desinformación en los reportes de ciberseguridad e inteligencia, y donde China acusa de “orientalismo” a gran parte de los reportes que se producen en EE.UU. Un tramo del reporte publicado por China, en cinco idiomas, dice esto:
Para complacer a los políticos, organismos gubernamentales y agencias de inteligencia estadounidenses, algunas empresas estadounidenses, como Microsoft y CrowdStrike, por su interés comercial y sin pruebas suficientes ni análisis técnicos rigurosos, han acuñado diversos nombres en clave absurdos con evidentes connotaciones geopolíticas para los grupos de ciberespionaje, como «tifón», «panda» y «dragón» en lugar de «anglosajón» «huracán» y «koala».
Lo cual dispara la pregunta sobre qué tipo de información se produce (y consume) de este lado del globo.
Y la segunda, una nota de Forbes que señala que quienes ocupan el puesto de CISO están, básicamente, quemados mentalmente.
Por último, la alianza FIDO dio a conocer esta semana una nueva especificación para permitir la migración de passkeys entre dispositivos, un paso más hacia adelante en la migración del sistema de contraseñas y hacia un mundo passwordless (y, por lo tanto, más seguro).
En esta edición:
👁 Worldcoin: todo sobre la conferencia en San Francisco
👮♀️ Acusan a tres hackers de alto perfil: uno, en Brasil
🏛 Tras el ciberataque, volvió Internet Archive
🐉 “Lie to me”: China denuncia desinformación por parte de EE.UU.
🐛 Filtran información interna de Game Freak
🎮 Steam ahora aclara (más visible): el usuario no es propietario de los juegos
👾 Ranking de malware de septiembre
📣 Agenda: mañana hay jornadas OWASP en la Facultad de Ingeniería de la Universidad de Buenos Aires. Si alguien va y quiere tomar un café o saludar para conocernos, por allí estaré. Más abajo, info en el banner.
⏰ Leer este correo completo te va a llevar 14 minutos.
Dark News #107
En el aniversario número 30 de la asignatura Criptografía y Seguridad Informática, el jueves 18 de octubre se llevará a cabo la 3era Jornada de Ciberseguridad - OWASP DAY. Contará con charlas sobre gestión de incidentes, seguridad en web crawlers y desarrollo de plataformas seguras. Será en la Facultad de Ingeniería de la UBA, Paseo Colón 850, Ciudad de Buenos Aires. La entrada es libre y gratuita. Para registrarse, clic en el banner.
Worldcoin: todo sobre la conferencia en San Francisco
Uno de cada tres iris que escaneó Worldcoin vino desde Argentina. Son más de 2 millones, de los seis que tiene el controversial proyecto que busca poder distinguir si un usuario es un humano o no tomando los datos biométricos del ojo.
De acuerdo a los datos de Tools for Humanity, la empresa de OpenAI que desarrolla Worldcoin, un total de 2.262.283 usuarios se verificaron su iris en Argentina. A nivel global lo hicieron 6.275.477. En abril de este año, la empresa había confirmado que había cerca de 500 mil personas verificadas, lo que representaba un 10% de la base total. Hoy, ya está en 28%, lo que representa un crecimiento considerable.
Así lo informó Clarín en un reportaje sobre la conferencia que se llevó adelante en San Francisco. Fue en medio de un anuncio global de la firma, que apunta a escalar el proyecto de verificación de usuarios a un nivel masivo. Worldcoin, que se hizo conocida por brindar criptomonedas a cambio del escaneo, ahora quiere multiplicar ese alcance.
Según anunciaron en el escenario Alex Blania (CEO de Tools For Humanity) y Sam Altman (CEO de OpenAI), quieren escanear "a cada persona" a nivel global.
Fue en una conferencia donde además adelantaron algunos de los proyectos más ambiciosos que tendrá la plataforma a futuro. Desde una integración a nivel gubernamental para poder sumar documentos oficiales (como un pasaporte, registro de conducir o una ID) a su app WorldApp, hasta aumentar el intercambio de criptomonedas en la billetera virtual que integraron.
Actualmente hay 51 puntos de verificación en todo el país, pero apuntan a multiplicar el alcance. Es por ese motivo que anunciaron varias integraciones, como sumar orbes (la cámara híper especializada con la que se realizan las verificaciones) en locales comerciales como cafeterías o shoppings. Actualmente instalaron un nuevo espacio en el shopping del Abasto.
Incluso anunciaron un acuerdo con Rappi, para que cada delivery pueda llevar un orbe y hacer las verificaciones al momento de entregar un pedido.
Sobre el final de la conferencia, Sam Altman le confirmó a Sebastián Davidovsky que va a visitar la Argentina. Más info y reportaje completo, en este enlace.
Dato de color: la empresa estará de sponsor en Ekoparty, la conferencia de hackers que se realiza el próximo 13, 14 y 15 de noviembre. Estará la posibilidad de encontrarle vulnerabilidades al orbe que se usa para escanear los ojos.
Acusan a tres hackers de alto perfil: uno, en Brasil
Esta semana hubo noticias de acusaciones a ciberdelincuentes. Por un lado, la Policía Federal de Brasil detuvo al conocido hacker USDoD, vinculado a las filtraciones de datos de National Public Data e InfraGard, en el marco de la “Operación Data Breach”.
También conocido como EquationCorp, tiene un largo historial de data breaches que tuvieron un fuerte impacto mediático, con las consecuentes filtraciones de datos en foros underground de compraventa de datos. Entre los leaks más famosos están los de InfraGard del FBI, un portal de threat intel, y National Public Data, donde se filtraron datos personales y los números de seguridad social de cientos de millones de ciudadanos de los Estados Unidos.
Por otro lado, Wired reportó la acusación de dos miembros de Anonymous Sudan. Según el Departamento de Justicia de Estados Unidos, son dos hermanos sudaneses que estarían detrás del grupo hacktivista que, en este caso, se vio involucrado en una oleada de ciberataques que apuntaron a decenas de hospitales en distintos países, e incluso están apuntados por atacar el sistema de alerta de misiles de Israel.
El miércoles, el DoJ presentó cargos contra los hermanos Ahmed y Alaa Omer, que supuestamente lanzaron más de 35 mil ataques distribuidos de denegación de servicio (DDoS) contra cientos de organizaciones, tumbando sitios web y otros sistemas online, como medio de extorsión o en nombre de clientes de un servicio de ciberataque por encargo que dirigían con fines lucrativos.
Según los fiscales estadounidenses y el FBI, entre sus víctimas se encontraban los servicios en la nube Azure de Microsoft, ChatGPT de OpenAI, empresas de videojuegos y medios de comunicación, aeropuertos e incluso el Pentágono, el FBI y el propio DoJ.
Tras el ciberataque, volvió Internet Archive
El Internet Archive volvió a estar online después de que sufriera un ataque de DDoS, pero en formato sólo lectura (read-only), lo cual significa que no se pueden hacer nuevas capturas de sitios web. Wayback Machine, el archivo virtual, guarda más de 916 mil millones de sitios web que se van capturando a medida que se suben, lo cual permite preservar distintas versiones de páginas web, además de archivar contenidos específicos que, con el paso del tiempo, se pueden perder.
Su fundador, Brewster Kahle, anunció esta semana que el sistema está online pero sólo para consultar contenidos ya indexados por el sitio. “Es provisional, ya es seguro volver a activar el sitio, pero podría necesitar más mantenimiento, en cuyo caso habrá que suspenderlo de nuevo”, explicó.
El equipo del Internet Archive fue restableciendo el sitio, junto con las cuentas de correo electrónico de miembros del sitio restableciendo gradualmente los servicios de Archive.org en los últimos días, incluyendo el restablecimiento de las cuentas de correo electrónico del equipo y los crawlers para tomar información de los sitios web que componen el archivo. Además, explicaron que los servidores estuvieron offline para examinar y fortalecer los sistemas frente a posibles futuros ataques.
La semana pasada, un atacante aseguró haber filtrado información interna del sitio, además de compartir la información con Troy Hunt de Have I Been Pwnd, el sitio más conocido del mundo para chequear datos filtrados. Según afirmó el hacker, tiene un archivo SQL de 6.4GB llamado "ia_users.sql", que contiene miembros registrados, mails, passwords y otra información interna del Internet Archive.
El rol que cumplen servicios como Wayback Machine es clave para la preservación del mundo online.
“Lie to me”: China denuncia desinformación por parte de EE.UU.
China publicó un reporte titulado Lie to me (original - en inglés) en el que asegura que Volt Typhoon, un grupo de hackers identificado por Estados Unidos como responsable de diversos ciberataques, es en realidad una invención de las agencias gubernamentales de EE.UU. para generar descrédito sobre China y justificar operaciones.
Publicado el lunes en cinco idiomas, el documento Lie to Me: Volt Typhoon III - Unravelling Cyberespionage and Disinformation Operations Conducted by US Government Agencies, es la continuidad de otro reporte ya publicado en julio de este año que retoma en gran medida el contenido de un documento similar publicado en abril y julio.
Ahora, en este último documento, China sostiene que consultaron a 50 expertos en ciberseguridad y que determinaron que EE.UU. y Microsoft no tienen pruebas para asociar a asociar a Volt Typhoon con China. El documento no aclara quiénes son esos expertos.
Volt Typhoon es un nombre que EE.UU. sigue de cerca desde hace tiempo. En febrero de este año, el FBI desmanteló una botnet que, aseguran, estaba administrada por este grupo, que apuntaba a atacar infraestructura crítica del país. China ya había negado estas acusaciones, en lo que calificaba como una “amplia campaña de desinformación por parte de Estados Unidos”.
Estas peleas en torno al control de la narrativa no son nuevas: SentinelOne publicó, hace dos años, una investigación sobre estos informes de China, asegurando que no hay evidencia concreta y que suelen tomar información de filtraciones como la de Wikileaks para construir sus reportes.
Sobre el final de la semana, China cargó también contra Intel, al acusar de “instalar backdoors de la NSA” en sus chips.
Filtran información interna de Game Freak
Game Freak, la desarrolladora japonesa de Pokémon, confirmó que sufrió un ciberataque en agosto en el que se filtró código fuente y builds en beta de juegos en desarrollo. La filtración sería masiva, con 1TB de información, donde se puede ver desde personajes no usados en juegos anteriores hasta el nombre en código de la sucesora de Nintendo Switch, la exitosa consola de Nintendo lanzada en 2017: “Ounce”.
La información comenzó a circular durante el fin de semana, cuando Reddit, servidores de Discord y Twitter (X), principalmente, fueron publicando actualizaciones sobre el leak. Game Freak reconoció esta situación en un comunicado en su propio sitio web, donde se disculpó con sus empleados porque también habría datos de ellos filtrados.
Si bien no se trata de una filtración tan grande como la de Insomniac Games del año pasado, por lo pronto se podría ver el código fuente completo de Pokémon HeartGold y HeartSilver -los juegos de esta saga suelen salir de a pares-, lanzados en Nintendo DS en 2010, lo cual es una mina de oro para la comunidad de modders (modificadores de juegos originales).
También hay diseños conceptuales de pokemones que fueron descartados en entregas anteriores, además de una película de acción que sería sobre la secuela de Detective Pikachu.
La cuenta de X “Centro LEAKS” estuvo publicando actualizaciones sobre el caso durante esta semana.
Junto con Mario, Tetris, GTA y Minecraft, Pokémon es una de las sagas de videojuegos más exitosas y reconocidas del mundo. Game Freak lanzó el primer par de juegos de Pokémon (Red y Blue) en 1996 para Game Boy.
Steam ahora aclara (más visible): el usuario no es propietario de los juegos
Steam, la plataforma de distribución digital de videojuegos en PC más popular del mundo, avisa ahora a los usuarios que, al comprar un juego, no están adquiriendo derechos de propiedad sino una licencia para poder correrlo. Si bien el sistema no es una novedad -siempre fue así-, el aviso que aparece en el carrito de compras sí es nuevo.
Según interpretaron diversos usuarios en un hilo de Reddit, este cambio se debe a que Steam se estaría adelantado a una nueva ley de California, AB 2426, que obliga a las compañías a ser más transparentes respecto de qué están comprando los usuarios cuando usan una plataforma. Se trata de una ley que aplica a servicios digitales, desde plataformas de streaming como Netflix hasta la propia Steam, que gestiona descargas de videojuegos.
Steam explica esto de manera clara en la página del “Acuerdo de Suscriptor”: los juegos subidos a la plataforma tienen licencia y, al comprar, se accede a ese derecho y no a la propiedad del juego. La diferencia es que Steam debe hacerlo visible para el consumidor, razón por la cual el aviso aparece en el carrito de compras.
Muchos usuarios creen que por pagar un servicio o una licencia digital son propietarios del producto cuando, en realidad, lo que están adquiriendo es una licencia para usarlo. Removida esa licencia, el contenido queda inaccesible. Por lo que, si bien esta ley es un paso adelante hacia la transparencia, la pérdida de acceso sigue siendo un potencial problema en este modelo de negocio.
Lo interesante es que esto no aplica para descargas offline, un modelo de negocio que por ejemplo aplica GOG, que sí brinda propiedad sobre un juego.
Ranking de malware de septiembre
Check Point Research publicó su ránking de malware de septiembre de 2024, donde destacan la tendencia consolidada del malware IA-driven, es decir, hecho con inteligencia artificial. Este es el top 5 de familias de malware:
↔ FakeUpdates – (AKA SocGholish): downloader hecho en JavaScript que escribe el payload al disco antes de lanzarlo. Lleva a comprometer sistemas a través de otros malware como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
↔ Androxgh0st: botnet que apunta a Windows, Mac y Linux.
↑ Formbook: infostealer que apunta a Windows y fue detectado por primera vez en 2016, se vende como Malware as a Service (MaaS) a bajo precio.
↔ Qbot o Qakbot: malware multipropósito detectado por primera vez en 2008, diseñado para robar credenciales y registrar pulsaciones del teclado.
↔ AgentTesla: RAT (Remote Access Trojan) que unciona como keylogger e infostealer.
En el top de grupos de ransomware, RansomHub lidera la lista de ataques con un 17% de detecciones, seguido por Play (10%) y Qilin (5%).
El top 3 de sectores más atacados sigue siendo educación e investigación en primer lugar, Gobierno/Militar en segundo y salud en tercer puesto.
El reporte completo se puede leer en este enlace.
🔓 Breaches y hacks
ESET detectó un incidente de seguridad en su partner de Israel
Un atacante dice vender datos del panel de Becas Progresar Argentina
Hackean aspiradoras inteligentes en todo EE.UU.
Cisco investiga un brach luego de que se venda información en un foro de hacking
🔒 Ransomware
Atacan en Gran Bretaña el servicio de ambulancias con ransomware
La aseguradora Global Life denunció un ciberataque y extorsión esta semana
💣 Exploits y malware
Detectan una campaña muy activa de la botnet Fenix en México
Usan una variante de Linux de FASTCash para infectar sistemas de pago
Más de 200 apps maliciosas de fueron bajadas de Google Play en 8 millones de descargas
🔍 Threat intel
SonicWall, Crunchbase, CyFirma, Flashpoint, Microsoft, Netscout y Wordfence publicaron reportes
Lynx Ransomware, un rebrandeo de INC Ransomware
Trend Micro describe cómo funciona una herramienta de red team llamada EDRSilencer
🛠️ Tools y updates
Multi-Account en AWS: por qué
Twitter (X) actualizó su política de blocks y además usará tuits para entrenar su IA
Cisco lanza tres avisos de seguridad
📋 Privacidad y seguridad
Ticketmaster enfrenta una demanda colectiva por el data breach
Wordpress toma control completo del plugin AFC por seguridad