Blog Blog

XSec News

June 24, 2025
Santiago Ingold
Noticias
XSec News

Nueva mega filtración de datos

Arrancamos con una nueva mega filtración de datos, en este caso se trata de 16 mil millones de contraseñas que se vieron expuestas en una nueva filtración de datos.

Al parecer, como sucede generalmente con estas filtraciones tan grandes, se trata de una combinación de múltiples bases de datos, provenientes principalmente de infostealers.

Para los que no lo recuerdan, los infostealers son un tipo de malware que se dedica justamente a robar usuarios y contraseñas desde los equipos infectados.

De todas las bases de datos involucradas, solamente una había sido publicada previamente, aproximadamente unos 184 millones de registros. Además, las credenciales corresponden a todo tipo de servicios, desde redes sociales y correo electrónico hasta plataformas corporativas, VPNs y portales para desarrolladores, no se salvó nadie.

Con 16 mil millones de contraseñas, estadísticamente hablando, son dos contraseñas filtradas de cada persona en el mundo, esa es la cantidad monstruosa de la que estamos hablando.

¿Esto significa que hackearon a un montón de empresas como Google, Apple y Microsoft? No, significa que hackearon a muchas personas y les robaron sus datos directamente desde sus navegadores, por ejemplo.

¿Que podés hacer para protegerte?

En primer lugar, no depender solamente de una contraseña, hoy en día una recomendación básica sería:

  • Usar un gestor de contraseñas (sin esto, no vas a poder hacer lo que sigue)
  • Usar contraseñas diferentes para cada sitio y que sean complejas, si son aleatorias mejor
  • Configurar en todas las apps que lo permitan, un segundo factor de autenticación, preferiblemente que no sea SMS, pero si es la única opción es mejor que nada.

Por otro lado, este tipo de noticias son un recordatorio de que tenemos que cambiar las contraseñas en forma periódica, así que esta es tu señal, cambiá tus contraseñas, si no todas, al menos las más críticas (correo, bancos, etc.).

Ciberespionaje a periodistas

Mientras tanto, se detectó el softwar eespía Graphite de la empresa Paragon, que fue utilizado para espiar a periodistas que utilizaban iOS de Apple.

En este caso, las víctimas fueron dos periodistas europeos y el ataque utilizado fue de "cero click", es decir, que no requiere de interacción del usuario para ejecutarse, por ejemplo puede ser el simple envío de un mensaje de SMS, Whatsapp o similar.

La vulnerabilidad utilizada en cuestión, era un zero day al momento del ataque, lo que significa que esos teléfonos podían tener todas las actualizaciones al día y ser igualmente vulnerables.

Todo esto sucedió a principios de 2025 y la propia Apple notificó a los usuarios de lo ocurrido el 29 de abril.

Si bien no es lo más probable, si creés que podés ser vícitima de este tipo de ataques, la primera recomendación es que utilices un dispositivo separado para las comunicaciones críticas, por ejemplo con fuentes de una investigación. Por otro lado, es recomendable habilitar el modo lockdown de iOS y limitar la cantidad de aplicaciones instaladas para reducir la posiblidad de que tengas un zero day disponible para ser explotado.

En Brasil podrás vender tus datos

Y siguiendo con temas de privacidad y datos personales, en Brasil se está planteando la posibilidad de que las personas puedan vender sus datos personales.

El razonamiento detrás de la propuesta es que tus datos ya están siendo utilizados, al menos deberías poder sacar algún dinero de ello.

Pero esto puede traer muchos inconvenientes o situaciones no deseadas:

  • En primer lugar, hay muchas personas en situación de vulnerabilidad que, creyendo que van a conseguir un buen dinero, van a vender sus datos sin saber realmente que es lo que están haciendo
  • Por otro lado, después de que vendés los datos, ¿que pasa con esos datos? ¿Se pueden volver a vender? ¿Te corresponde algo de la reventa?
  • Legitima la compra y venta de datos personales, lo que podría llevar a algo equivalente al lavado de dinero, donde se mezclen bases de datos "legítimamente" compradas, con bases de datos obtenidas en forma ilegal y hacer pasar toda la base como algo legal.

No sé, sinceramente me parece algo muy delicado y que en un país de américa latina con todos los problemas que tenemos, puede terminar muy mal.

Hace tiempo, un abogado me había dicho que todos los temas de protección de datos etc. eran la base para que más adelante se legalizara el comercio de datos y tal parece que no estaba nada equivocado.

Meta publicó las charlas privadas con su IA

Y siguiendo con problemas de privacidad, está un poco monotemático el resumen de hoy, tenemos el cagadón de Meta.

Para los pocos rebeldes que no tengan Whatsapp, les cuento que whatsapp ahora tiene la IA de Meta a un tap de distancia, como un chat GPT pero en el propio Whatsapp. Además, meta tiene su propia aplicación Meta AI que también funciona como un chat contra los modelos de Meta.

Hasta ahí todo correcto, es más o menos lo estándar hoy en día.

¿El problema? Que a algún desarrollador, product manager o loco inconsciente bajo los efectos de sustancias, se le ocurrió que era buena idea asociar las cuentas de Instagram de los usuarios de Meta AI y publicar sus conversaciones con la IA en Instagram bajo el nombre de los usuarios.

Si, así como lo escuchás. Publicar las conversaciones privadas de la gente con la IA.

Por si no lo entendiste bien, es como que Google decidiera publicar bajo tu nombre, tu historial de búsqueda o tu historial de navegación. ¿Ahora se entiende mejor? Bueno, es eso pero peor.

Algunos ejemplos de lo que se filtró:

  • Un usuario que le preguntaba a meta por el olor de sus pedos.
  • Preguntas relacionadas con la evasión fiscal o implicaciones legales de ser familiar de un delincuente
  • Consultas que incluían información personal, direcciones físicas, documentos legales, etc.
  • Solicitudes de generación de imágenes, con todo lo que eso implica

Mientras OpenAI se pelea con el gobierno para no guardar logs de los chats privados y eliminados, Meta los publica a todo el Internet sin más preguntas.

Operación de Interpol

Pasando al ámbito del cibercrimen, la Interpol desmanteló una red de maś de 20.000 IPs y dominios, relacionados con 69 variantes de malware.

Esta operación conjunta entre 26 países logró identificar los servidores, mapear las direcciones físicas y ejecutar las bajas de estos servicios.

Se dieron de baja 41 servidores y más de 100 GB de datos, además de arrestar a 32 sospechosos de estar relacionados con actividades cibercriminales.

También se incautaron dispositivos, tarjetas SIM, documentos de las organizacioens y dinero.

Si bien es positivo ver que se logra dar con los delincuentes y cerrar sus actividades, cada vez me da más la sensación de que esto es como la lucha contra el narcotráfico, cierran a uno y abren 10 nuevos.

Pero bueno, el tiempo dirá si estas acciones llevan a reducir este tipo de actividades o siguen aumentando, como lamentablemente sucede hasta el momento.

Nueva vulnerabilidad crítica en Linux

Y para ponernos un poco más técnicos y hablar de vulnerabilidades, tenemos un caso nuevo de una vulnerabilidad en Linux que afecta a las principales distros.

Se trata de una vulnerabilidad que permite escalar privilegios directamente a root y está persente en libblockdev que es un servicio que se ejecuta por defecto en la mayoría de las distribuciones de linux.

También se descubrió una vulnerabilidad relacionada en el PAM framework. Y porqué es relacionada? porque para ejecutar la primera es necesario un permiso que se puede obtener con la segunda.

Estas vulnerabilidades son extremadamente graves y cuentan con parches disponibles, por lo que se recomienda a los administradores actualizar lo antes posible y con la mayor prioridad.

Este es un ejemplo de como ningún sistema es invulnerable, incluso Linux, por más buena fama (aunque merecida) de seguridad tenga.

Hackearon la Nintendo Switch 2 (en un día)

Y para terminar, nos vamos con la noticia de que hackearon la Nintendo Switch 2, al otro día de su lanzamiento.

Lo más interesante es que esto sucedió con una consola que vendían como prácticamente inhackeable y ya le encontraron algo al otro día. Como digo siempre, si alguien te vende que algo es 100% seguro, te está mintiendo.

Si bien el hack no lleva a poder hacer un jailbreak, demuestra que la seguridad que tiene no es como la pintan y es cuestión de tiempo para que algún investigador encuentre algo más interesante.

Fuentes:

16 billion passwords exposed in record-breaking data breach, opening access to Facebook, Google, Apple, and any other service imaginable
https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/

El software espía Graphite se utiliza en ataques sin clic contra periodistas en iOS de Apple
https://ojocibernetico.com/2025/06/18/el-software-espia-graphite-se-utiliza-en-ataques-sin-clic-contra-periodistas-en-ios-de-apple/

In a world first, Brazilians will soon be able to sell their digital data
https://restofworld.org/2025/brazil-dwallet-user-data-pilot/

The Meta AI app is a privacy disaster
https://techcrunch.com/2025/06/12/the-meta-ai-app-is-a-privacy-disaster/

INTERPOL Dismantles 20,000+ Malicious IPs Linked to 69 Malware Variants in Operation Secure
https://thehackernews.com/2025/06/interpol-dismantles-20000-malicious-ips.html

New Linux udisks flaw lets attackers get root on major Linux distros
https://www.bleepingcomputer.com/news/linux/new-linux-udisks-flaw-lets-attackers-get-root-on-major-linux-distros/

Hackers discover Nintendo Switch 2 exploit one day after launch — minor hack allows running custom code on top of OS
https://www.tomshardware.com/video-games/handheld-gaming/hackers-discover-nintendo-switch-2-exploit-one-day-after-launch-minor-hack-allows-running-custom-code-on-top-of-os

Santiago Ingold

Santiago Ingold

Especialista en Ciberseguridad - Fundador en BlackPitbull.com - @expertociber en YouTube

Volver al blog