Worldcoin hace lobby con políticos argentinos, Maduro denuncia bots de Milei y hackean la campaña electoral de EE.UU.
Jen Easterly (CISA) arrojó en Black Hat pistas sobre el leak de Trump, Venezuela profundiza su crisis en las urnas y una delegación local viajó a San Francisco a visitar la empresa de Sam Altman.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
16>23
ago
⚡ TL;DR
Ya de vuelta del break editorial post DEF CON 32 y Black Hat USA 2024 -hice un recap de la cobertura, acá-, con muchísimos pendientes y material que me traje de ambas conferencias para trabajar en profundidad, durante la semana pasada hubo algunas noticias de peso en el mundo de la ciberseguridad que quedaron fuera del rango de cobertura de Dark News. Hay mucho para recapitular, arrancamos.
A nivel global, el tema central fue el hackeo a la campaña de Donald Trump que, según la inteligencia de EE.UU, es atribuíble a un grupo de hacking que representa los intereses de Irán. Es interesante porque esto sucedió a pocos días del keynote de Black Hat, donde Jen Easterly, directora de la CISA, dijo: “Las elecciones son procesos muy complejos. 150 millones de estadounidenses van a votar este año en las elecciones generales. Las cosas van a salir mal. Se los garantizo: van a salir mal” (ver).
Hay una deriva de este caso que es un llamado a la introspección y hasta autocrítica: ¿qué hay que comunicar cuando ocurre un hack and leak? ¿Cuál es el criterio de noticiabilidad preponderante, el hack o el leak? Sé que esta pregunta es “periodismo para periodistas” (y, en este caso, para el subnicho “periodismo infosec” -si existiese tal cosa-), pero es un debate al interior de este tipo de publicaciones debido a la incidencia que puede tener durante una campaña electoral la publicación de un leak y la interferencia que puede generar (como ocurrió en 2016 con Wikileaks y la influencia de actores asociados a Rusia).
Cerrado el paréntesis metaperiodístico, otra noticia que gravitó con cierta notoriedad fue el breacheo de la entidad pública de datos de Estados Unidos (National Public Data), exponiendo números de social security, en lo que sería la filtración de datos del estado norteamericano más grande de la historia. Brian Krebs publicó dos buenas notas sobre el tema (sobre el leak y sobre passwords).
Pero el tema campaña electoral también estuvo caliente en América Latina: Nicolás Maduro, presidente electo de Venezuela, acusó al Gobierno argentino de usar bots en contra de su país durante las elecciones.
En el mundo de los reportes apareció, a fines de la semana pasada, uno que hay que tomar con pinzas, pero arroja pistas en una dirección: las víctimas del ransomware pagaron al menos 460 millones de dólares durante la primera mitad de 2024, un 2% más que en la primera mitad de 2023. Se trata de un salto de $449,1 millones de dólares a $459,8 en la primera mitad de 2024, según datos de Chainalysis.
Digo tomar con pinzas porque, como siempre, estas cifras son parciales y relativas, aunque sí pintan un poco el panorama sobre si las víctimas están pagando o no y hacia dónde va este modelo de negocio extorsivo.
En el plano local, Argentina tuvo ciertas agitaciones online que salpicaron a varios medios nacionales: el compromiso de cuenta de “Promiedos” -así se escribe-, una página de estadísticas del fútbol argentino (en particular, del descenso).
Pero hubo un tema que empezó a circular en redes sociales y lo cubrió sólo el colega Agustín Jamele: el viaje de una delegación nacional a San Francisco a las oficinas de Worldcoin, la empresa de Sam Altman que escanea iris para un proyecto de identidad digital global, repleta de polémica por el tratamiento de los datos biométricos.
No es el primer acercamiento entre la empresa y la Argentina, donde hay una penetración de mercado muy grande, en gran parte por las laxas leyes de protección de datos personales del país. Más abajo, la info que pudo recopilar Agustín, quien para mí es uno de los periodistas que mejor viene siguiendo el tópico.
Ya más cerca en el tiempo, el miércoles de esta semana apareció una publicación donde un actor de amenazas aseguraba tener más de 400 mil registros de Migraciones con números de documento y teléfonos de ciudadanos argentinos y uruguayos. Si bien no hay confirmación oficial, Dark News supo que la información se obtuvo mediante web scrapping. Por otro lado, Podría ser una deriva de un leak del Renaper de abril de este año (ver detalle), que tenía un set de información relacionado al COVID en la época en la que se emitían notificaciones y controles por SMS. Y el easter egg de los leaks: expusieron lo que sería información interna de socios de Racing Club.
Dos más de Argentina que quedaron por fuera de la cobertura de Dark News: el país se incorporó a la iniciativa contra el ransomware y se llevó a cabo la segunda ronda de exposición de especialistas sobre inteligencia artificial (recomiendo seguir a Luis García Balcarce por este tema).
Por último salió una especie de conclusión de lo que fue DEF CON de parte de Joseph Cox, periodista de 404 que cubre desde hace más de una década la conferencia, donde concluye que un poco “la era dorada de los hackers en Las Vegas llegó a su fin”. Es interesante su postura, que toma la medida que llevaron a cabo ciertos hoteles de revisar cuartos de asistentes para buscar “elementos de hacking” como la punta del iceberg de una época que, según su postura -y la de varios veteranos que tienen más de 20 conferencias encima- ya no existe (está paywalleado, ya sabrán qué hacer).
Entre notas que salieron en medios muy de nicho encontré una en la que una mujer le inició una demanda a Google por tener una app fraudulenta en Play Store que, alega, le hizo perder su dinero y demanda a la empresa por 5 millones de dólares en daños.
Una personal de research para cerrar: esta semana se relanzó el histórico e-zine Phrack, y salió publicada parte de la investigación que presentamos con Mauro Eldritch en DEF CON 32, el año pasado.
Dark News #98
Leer este correo te va a llevar 14 minutos.
Llega a Buenos Aires la XII edición de Media Party 2024, la conferencia de innovación en medios más grande de América latina. El 31 de agosto es la hackatón, en AreaTres El Salvador, una jornada donde equipos multidisciplinarios realizan prototipos de herramientas, productos o servicios de impacto para la industria de las noticias y medios con foco en inteligencia artificial, noticias y democracias.
Media Party, del 29 al 31 de agosto de 2024 en el Konex, inscripción gratuita.
🗳 La campaña electoral de Estados Unidos, bajo ataque
El Gobierno de los Estados Unidos concluyó que “Irán está detrás” del ciberataque que apuntó a la campaña de Donald Trump, que también desbordó a la dupla Biden-Harris. El FBI y otras agencias de inteligencia norteamericanas le informaron al equipo de Trump que hubo spear phishing hacia un funcionario de alto rango de la campaña.
La punta del ovillo de la noticia se encuentra en el 10 de agosto, cuando Donald Trump denunció que había sido hackeado, a partir de una publicación del medio Politico. El medio había recibido documentos de una fuente anónima que contenían información interna de la campaña de Trump.
Tres días más tarde, el FBI y otros equipos de investigadores empezaron a sospechar de una campaña de hack and leak por parte de un grupo que representaría los intereses de Irán, algo confirmado por el vocero de la campaña de Trump, Steven Cheung: “Los documentos fueron obtenidos ilegalmente de fuentes extranjeras hostiles a Estados Unidos, con la intención de interferir en las elecciones de 2024 y sembrar el caos en nuestro proceso democrático”. El funcionario se apoyó técnicamente en un reporte de Microsoft.
Los medios de comunicación en EE.UU. tomaron el tema con cuidado: tanto el Washington Post como el New York Times hablaron más del hack que del contenido del leak: también aseguraron recibir información de un tal “Robert” (el mismo que se contactó con Politico), pero no difundieron el contenido de la filtración.
Varios especialistas destacaron esto en contraste con lo que sucedió en 2016 (ver), cuando Estados Unidos denunció interferencia de Rusia en las elecciones nacionales y diversos medios de comunicación publicaron información interna que había sido difundida, en primera instancia, por Julian Assange (WikiLeaks).
Complementaron en un comunicado el FBI la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA):
Es importante señalar que este enfoque no es nuevo. Irán y Rusia emplearon estas tácticas no sólo en Estados Unidos durante éste y anteriores períodos electorales federales, sino también en otros países de todo el mundo.
La misión de Irán ante la ONU rechazó el lunes lo que calificó de afirmaciones "infundadas" de que su Gobierno estaba detrás de la operación.
🤖 Venezuela: Maduro acusa a Milei de usar bots en contra de su campaña
Los resultados de las elecciones de Venezuela del pasado 29 de julio siguen atravesados por denuncias de fraude e irregularidades. El lunes pasado, el presidente electo, Nicolás Maduro, acusó a su par argentino, Javier Milei, de gastar más de 100 millones de dólares en ataques de bots contra el proceso electoral venezolano.
Maduro habló de un "incremento de la guerra cibernética contra el país a través de bots" por parte de Argentina. "¿Qué granjas de bots nos atacan de Argentina? Las granjas de bots de Milei, del fascismo, con plata del presupuesto del Gobierno argentino, gastaron más de 100 millones de dólares en los ataques de las últimas dos semanas", aseguró Maduro, sin mostrar pruebas.
El líder chavista aseguró que esta operación estuvo organizada desde México, España y Argentina, y que Milei “usó técnicas similares a las que usó durante su campaña en 2023 en Argentina, “con 20 mil teléfonos, donde llegó a tener hasta 100 cuentas por teléfono”.
“Entonces, él simulaba, creaba el clima en las redes sociales de que todo el mundo escribía a su favor, de que todos los videos son a favor y compró a todos los influencers importantes de Argentina y varios del exterior”, aseguró Maduro.
Venezuela todavía lidia con un proceso electoral turbulento. El lunes 29 de julio, el Consejo Nacional Electoral (CNE) proclamó como ganador a Nicolás Maduro, pese a que este mismo organismo no publicó las actas de escrutinio con los resultados detallados.
La oposición había anunciado que había logrado reunir el 73,2% de las actas y que el resultado le otorgaba al opositor Edmundo González Urrutia 6,25 millones de votos frente a 2,28 millones de Maduro. Por aquel entonces, hubo al menos 25 muertos y decenas de heridos en las manifestaciones por el rechazo anunciado por la CNE.
Argentina fue uno de los primeros países que habló de fraude en Venezuela, luego de que la transmisión de los resultados de las máquinas de voto electrónico se detuviera en el 40% de las actas.
🪙 Worldcoin recibe a una delegación política de Argentina a San Francisco
Una delegación de políticos argentinos visitó las oficinas de Worldcoin en San Francisco. Tuvieron una reunión con Trevor Traina, jefe de asuntos globales y desarrollo comercial de la empresa de Sam Altman que escanea datos biométricos. El encuentro, cuenta Forbes Argentina, se organizó en el contexto de un viaje de la Fundación Universitaria Río de la Plata que suele realizar estas actividades todos los años.
Entre las figuras conocidas de Argentina participaron de la visita Mayra Mendoza, intendenta de Quilmes por Unión por la Patria, Cristian Ritondo, diputado nacional por la provincia de Buenos Aires y presidente del bloque del PRO, y Juan Schiaretti, exgobernador de la Provincia de Córdoba por el Partido Justicialista.
Fuentes que fueron a la reunión le confirmaron al periodista Agustín Jamele cuál fue el sentido del viaje:
Aprovecharon que estaban representantes de varios partidos políticos y de muchas jurisdicciones para contar del proyecto y demás. Mucho centrado sobre la privacidad de los datos y, más que nada, para sacar las preocupaciones de “no compramos iris por plata” que dan vuelta por algunos medios.
“La visita tuvo como objetivo compartir experiencias, buenas prácticas y problemáticas sobre dos temas centrales de la actualidad: seguridad y desarrollo tecnológico en la era de la inteligencia artificial”, complementaron desde FURP, en un comunicado que consiguió Forbes y compartió con esta publicación.
Cuestionada por expertos en ciberseguridad y bloqueada en varios territorios, la empresa cofundada por Sam Altman (CEO de OpenIA, dueña de ChatGPT) propone ser un “pasaporte digital” que resuelva un problema que suena simple, pero es bastante complejo a nivel técnico: la identificación y la autenticación online, ese proceso que todavía queda atado a un usuario y una contraseña, que es uno de los principales vehículos de las ciberestafas en la actualidad.
Worldcoin opera sin restricciones en la Argentina, donde hace ruido por las rápidas ganancias que les ofrece a sus usuarios. Y no es casual: se trata de uno de los territorios con mayor penetración, con un dato oficial de la primera parte del año de 500 mil escaneos y otro, por lo bajo, que ya supera el millón.
La empresa envió a su CEO, Alex Blania, a la Argentina a principios de mayo de este año (entrevista de Dark News, en este enlace).
Los acercamientos entre la compañía y la Argentina son cada vez más frecuentes: hace no mucho, un equipo de la empresa estuvo escaneando iris en una de las estaciones de subte más céntricas de la Ciudad de Buenos Aires, en otra acción para engrosar la base de datos y expandir el proyecto de pasaporte digital de Tools For Humanity.
🔒 Microsoft aclara cómo será el MFA obligatorio en cuentas admin
Microsoft publicó una hoja de ruta esta semana en la que explica cómo se dará la migración en sus sistemas de autenticación hacia un login con autenticación multifactor obligatoria.
La noticia no es menor porque a principios de 2024 (mayo, para ser precisos) la empresa fue poco clara a la hora de responder cómo se aplicaría, para quiénes (servidores, usuarios) y sobre qué otros sitios relacionados a Azure se aplicaría. Azure es el servicio en la nube de Microsoft y uno de los principales proveedores cloud de occidente.
Por lo que se puede leer en el posteo de Microsoft, los administradores recibirán correos electrónicos y notificaciones en el portal Azure Service Health para que activen el segundo factor o, de lo contrario, perderán acceso a sus suscripciones.
Este requisito obligatorio se irá ampliando a otros servicios de Microsoft de administrador durante 2025: Azure CLI, Azure PowerShell, Azure mobile app, e IaC (Infrastructure as Code).
La empresa se alínea así a AWS y Oracle, sus dos grandes competidores, que ya obligan a los usuarios de mayor privilegio a usar MFA.
💰 Pagos de ransomware en 2024: más que el año pasado
Las víctimas del ransomware pagaron al menos 460 millones de dólares durante la primera mitad de 2024, un 2% más que en la primera mitad de 2023: de 449,1 millones de dólares a 459,8 en la primera mitad de 2024, según datos de Chainalysis.
Durante el año pasado se había llegado a detectar pagos por rescates de información por 1,1 mil millones de dólares, aunque la empresa cree que 2024 ya perfila como el año record de pagos.
Una de las razones por las cuales Chainalysis sostiene esta idea es porque, explican, se detectaron menos ataques pero de más alto nivel: el modelo se mueve hacia el “big game hunting”, esto es, tener como objetivo de los ataques a empresas con alto poder adquisitivo. La experiencia local, al menos en América Latina, demuestra que los ataques de ransomware siguen afectando a cualquier tipo de institución, sin embargo.
El pago de 75 millones de dólares al grupo Dark Angels apareció en 2024 como la cifra más alta de la que se haya tenido registro en términos de pagos extorsivos por ransomware.
Por otro lado, Chainalysis destaca que la disrupción de grandes jugadores como LockBit y Black Cat influyó en un movimiento en el mundo del cibercrimen organizado, mediante el cual afiliados de los grupos se movieron hacia nuevas cepas o incluso el desarrollo de malware propios.
Chainalysis es una plataforma de análisis y datos sobre la blockchain que, periódicamente, da a conocer números asociados al cibercrimen. Entre los números que difundió a fines de la semana pasada también se supo que los fondos robados en la blockchain casi se duplicaron de 857 millones de dólares a 1,58 mil millones en 2024.
El problema que tienen estos estudios es que indican certezas en un ámbito donde, en el fondo, es difícil tenerlas. Explicó una fuente del sector a Dark News:
La mayoría de los pagos se hacen en diferentes cripto, nunca en USDT o USDC, porque en esos blockchains los activos se pueden freezar: cuando hay una denuncia o un pedido de la Justicia, se pueden congelar los activos. Supongamos, entonces, que usen BTC: mirá el precio de BTC del 1 de enero de este año y mirá el precio ahora. Si ese precio subió más del 2% valorizado en dólares, ¿cómo decís cuánta plata recaudó el ransomware? Estos informes no hacen más que mentir con datos.
“Las estadísticas justifican presupuestos”, suele decir esta fuente, algo que se puede confirmar luego en cualquier presentación, reunión o venta de producto en la industria de la ciberseguridad.
De todos modos, el reporte se puede leer en este enlace.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
🔗 Más info
ESET descubre un nuevo malware que explota NFC
Lazarus, detrás de un nuevo zero day de Windows
Nueva ola de explotación de Log4j
La empresa de semiconductores Microchip dice que sufrió un breach
Trend Micro estudia en detalle una campaña de Play Ransomware
WhatsApp trabaja en sumar usernames como Signal y Telegram
VeraCrypt parchea diversas fallas de seguridad
Heap Overflow en OBS
MalwareBytes publica un nuevo reporte de threat intel
Filtran datos de empleados de Toyota
Qilin ransomware ahora roba credenciales en Chrome
Lindo medio de comunicación 📢 🤙🏻