Blog
Arrancamos con Argentina, donde detuvieron a un hacker acusado de comprar la base de datos del Programa de Atención Médica Integral (PAMI) y utilizar esa información para montar un negocio de recetas de medicamentos falsas.
Las autoridades esperan que el detenido con prisión preventiva pueda brindar información que ayude a dar con el paradero de los responsables del hackeo original, integrantes del grupo Rhysida, quien se atribuyó el ataque.
Robaron información sensible de afiliados, sus carnets digitales, datos de profesionales médicos prestadores, usuarios y claves de acceso a los sistemas de gestión y atención, como el de las recetas electrónicas.
Con esta información, el hacker habría, presuntamente, vendido recetas falsas para medicamentos controlados.
Al parecer lo que hacía era simular una receta entre un médico y un paciente aleatorio, luego los "clientes" se hacían pasar por un familiar o cuidador del jubilado para retirar la medicación.
Este caso nos resalta la importancia, no solo de proteger la información, sino de los procesos que ocurren fuera de la tecnología que también deben ejecutarse en forma segura. Además, vemos como en muchos casos, la realidad de las personas pasa por encima de los protocolos, ya que es razonable que muchos jubilados no estén en condiciones de ir a retirar ellos mismos su medicación y es esperable que otras personas la retiren por ellos.
Mientras tanto, en un nuevo ataque a la cadena de suministros, hoy en servicios de inteligencia artificial, un hacker implantó un comando de eliminación de información en la extensión de Amazon Q en VSCode.
La extensión es open source y el atacante habría enviado un pullrequest legítimo al repositorio y luego le dieron acceso de administrador sobre el repositorio, con lo que pudo generar esta vulnerabilidad.
Esta extensión permite a los programadores, contar con la asistencia de Amazon Q mientras escriben código, por lo que se trata de una extensión bastante popular para quienes tienen este servicio y utilizan VSCode, contando con más de 964.000 instalaciones.
Según el atacante, el prompt inyectado estaba hecho para no funcionar, para llamar la atención de los riesgos a los que estaban expuestos. De haber funcionado correctamente, el prompt "limpiaba el sistema a un estado casi de fábrica y borraba los recursos del file-system y de la nube" además le daba instrucciones de "ejecutarse continuamente hasta que la tarea se hubiera terminado".
La controvertida aplicación Tea, diseñada para que mujeres dieran puntuaciones a hombres con los que habían salido o tenido algún tipo de relación fue hackeada. Esta aplicación era bastante controversial ya que básicamente se trataba de una especie de doxxing masivo de hombres, donde se publicaba sin su consentimiento, su foto, datos personales y luego comentarios u opiniones, hasta incluso acusaciones sin ningún tipo de filtro.
Lo que ocurrió ahora es que la aplicación fue hackeada y filtraron los datos de todas las mujeres que habían utilizado la aplicación, incluyendo, entre otros, sus fotos, licencias de conducir y ubicación geográfica.
Si bien nunca está bueno que se publique información de nadie, me parece un hackeo con cierta justicia poética, que quienes se dedicaban a doxxear en cierta forma, hayan terminado doxxeadas ellas mismas.
Otro punto polémico sobre esta aplicación, es que al parecer habría sido desarrollada con "vibecoding" es decir, que se desarrolló con herramientas de inteligencia artificial y no con desarrolladores reales, lo que le habría jugado en contra al momento de tener implementadas medidas mínimas de seguridad.
Un caso que volvió a estar en los titulares esta semana fue el muy conocido caso de Crowdstrike y todos los problemas que generó una actualización defectuosa, hace ya un año.
En particular, se publicó un estudio donde se analizó el efecto real que tuvo en la infraestructura de instituciones de salud. Los investigadores utilizaron datos de escaneo de infraestructura de salud dos semanas antes del incidente, durante el incidente y hasta dos semanas después del incidente, para medir el impacto que tuvo este problema más allá del momento exacto cuando ocurrió.
El objetivo del estudio es resaltar el impacto a nivel de salud pública que puede tener este tipo de incidentes, que en un principio parece que son solamente tecnológicos.
No olvidemos que la salud forma parte de las infraestructuras críticas de cualquier país, por lo que cualquier tipo de problema de disponibilidad tiene efectos muy reales sobre la vida de las personas.
Y la que podría ser la noticia de la semana fue la vulnerabilidad en sharepoint que permitía la ejecución remota de código en aquellos sistemas que estuvieran publicados hacia internet. Aunque en un principio se manejó que se trataba de una vulnerabilidad zero-day, en realidad era una vulnerabilidad que ya tenía un parche asociado.
Si bien no es algo demasiado difundido, hay organizaciones muy grandes que tienen sus portales de SharePoint accesibles directamente desde Internet. Según los investigadores, esta vulnerabilidad no solo estaba siendo explotada activamente, sino que se estaba escaneando y explotando en forma masiva.
Como era una vulnerabilidad ya corregida, el impacto no fue tan masivo como su escaneo, ya que, según el informe, se detectaron más de 400 sistemas comprometidos por esta vulnerabilidad en un universo de unos 23.000 que estaban expuestos a Internet.
En caso de detectar un sistema comprometido, la recomendación es aislarlo de la red o apagarlo, no es suficiente con cortarle el acceso via firewall ya que podría existir una vía alternetiva de comunicación. Luego renovar todas las credenciales y secretos que podrían haber sido exfiltrados.
Más allá de eso, en casos de este tipo, es necesario involucrar a especialistas en respuesta a incidentes, tanto de dentro como de fuera de la organización y seguir las recomendaciones oficiales, en este caso de la página de Microsoft sobre el tema.
Por otro lado, Europol atrapó a uno de los administradores del foro de hacking XSS.is en Ucrania. Al parecer, el detenido tendría más de 20 años de experiencia en la ilegalidad y habría obtenido unos 7 millones de euros en estos 20 años.
Se supone que además de ser uno de los administradores del foro, también era el creador de una plataforma de comunicaciones desarrollada específicamente para las necesidades de los ciber delincuentes.
Y en otras operaciones contra el cibercrimen, en una operación conjunta de varios paises, Europol y el FBI, la operación Checkmate, tomó el control de los sitios web del grupo de ransomwareBlackSuit.
Según información de Cisco, el grupo se estaría reconfigurando y reorganizando bajo el nuevo nombre de Chaos Ransomware, esto no sería la primera vez, ya que antes de llamarse BlackSuit, este grupo era conocido como Quantum.
En fin, hasta los grupos de ransomware hacen rebranding de vez en cuando.
En un movimiento totalmente a favor de sus usuarios, el navegador Brave decidió bloquear a Microsoft Recall por defecto.
Para los que no recuerdan de que se trata, Recall es una herramienta de Microsoft que se dedica a realizar capturas de pantalla en forma periódica sobre tu PC, para luego utilizar motores de inteligencia artificial para que puedas hacerle preguntas sobre cosas que has hecho en tu PC. Los riesgos de esto, son muchos, como por ejemplo que no se controle adecuadamente la información que se guarda de las capturas y los datos aprendidos por la IA, así como también ser un punto crítico ideal para cualquier tipo de hacker que quiera robar información de los usuarios.
Por este motivo, entre otros, es que Brave decidió implementar medidas para bloquearlo y acá es donde se pone interesante. Porque Microsoft dijo que no iba a tomar capturas de las ventanas de incógnito de los navegadores, entonces desde Brave, implementaron las medidas necesarias para indicarle a Recall que todas las ventanas son de incógnito (aunque no lo sean) y con eso frenar el acceso de Recall a las ventanas de Brave.
Si bien es una solución que depende de que Microsoft mantenga la implementación de no capturar las ventanas de incógnito, es una forma simple e inteligente de solucionar el problema, al menos para Brave.
Y para terminar, nos vamos con una noticia bastante más grave que las demás, no necesariamente por lo ocurrido sino por a quién le ocurrió.
Estamos hablando de que hackearon a una empresa estatal francesa que se dedica a temas de defensa, por ejemplo a la construcción de submarinos nucleares.
Los atacantes al parecer querían mandar un mensaje, podrían ser un poco hacktivistas, aunque si nos ponemos en modo paranoico, podría ser un estado hacíendose pasar por un grupo hacktivista.
Lo que si sabemos es que publicaron una muestra de 13 GB de información robada de esta empresa, exigieron una comunicación o respuesta por parte de la misma y le dieron 72 horas antes de publicar toda la información completa, que son un 1TB de datos que incluyen documentos, código fuente de sistemas de combate, software de armamento, entornos de simulación, diseño de redes, manuales de usuario, comunicaciones internas y hasta respaldos de máquinas virtuales, vaya uno a saber de qué.
