Blog
Arrancamos con, este caso en Argentina, donde un empleado del Banco Nación filtraba datos de clientes para que les vaciaran las cuentas.
El modus operandi era que este empleado accedía a las bases de datos del banco y luego le enviaba la información al resto de la banda. Con la información de los clientes generaban documentación falsa y retiraban dinero de la cuenta de las víctimas. Además, el propio empleado autorizaba las operaciones sobre las cuentas afectadas.
En el artículo se utiliza el término "suplantación de identidad" y aunque es mejor que "robo de identidad", cabe destacar que a los clientes no les robaron ninguna identidad, fue el banco el que no supo detectar documentación falsa y se equivocó al identificar al cliente.
Nadie te puede robar tu identidad.
Dicho esto, es un caso interesante de una amenza interna o "insider threat", que destaca cómo esta es una amenaza que si bien no se tiene, a veces, tan en cuenta, puede ser muy peligrosa por el impacto que puede tener. Un empleado de la empresa conoce los detalles de la operación y las debilidades de los procesos y la tecnología. Por lo tanto tiene mucha información que un atacante externo no tiene.
¿Cómo protegernos de este tipo de actores? Con principios básicos de seguridad de la información:
- Mínimo privilegio: Los empleados solo tienen que acceder a la información estrictamente necesaria para la realización de sus tareas.
- Segregación de responsabilidades: Quienes hacen una acción no deben poder autorizar dicha acción y viceversa. Más en general, las responsabilidades de operación, adiministración y autorización tienen que estar separadas.
- Sistemas de alerta temprana: En este caso, ¿Era normal para esos clientes realizar ese tipo de operaciones? ¿Qué tan común es que una persona saque todo el dinero de su cuenta?
- Registros y auditoría: Hay que tener registros seguros y confiables de las acciones que se realizan en los sistemas, para poder reconstruir lo sucedido cuando ocurre un incidente.
Y hablando de insiders, no solo le pasa a los bancos latinoamericanos, también le pasa a los grandes exchanges de criptomonedas de Estados Unidos. En este caso, la víctima fue Coinbase, quien confirmó que sufrió una brecha de datos de una parte de sus clientes.
Nuevamente, estamos frente a un caso de un atacante interno, ya que la información fue obtenida por los atacantes, a través de sobornos a empleados de la empresa que trabajan en el exterior.
Los atacantes exigen un pago de USD 20 millones para no revelar la información robada y en un giro de trama digno de una buena película, o de una partida de UNO, Coinbase aseguró que no va a pagar el rescate y publicó una recompensa de USD 20 millones para quienes den información sobre los atacantes. Sería irónico, pero muy inteligente, que los propios empleados que filtraron la información ahora dieran la información de los atacantes a coinbase, volviendo a cobrar por esa transferencia de información.
Y siguiendo con cosas que pasan en Estados Unidos, la semana pasada hablábamos de Meta, hoy tenemos una multa a Google por temas de privacidad y seguridad de datos personales.
Más precisamente, el fiscal general del estado de Texas, llegó a un acuerdo con Google por USD 1.375 millones de dólares a modo de multa o compensación por el procesamiento en forma ilegal por parte de google sobre información privada de los usuarios como datos de ubicación, búsquedas de incógnito e información biométrica. Si dije búsquedas de incógnito bandido.
Al parecer, este fiscal en particular ha estado relacionado con múltiples casos similares con empresas tecnológicas como Google o Meta.
Más allá de lo bueno de que se condene las malas prácticas con los datos de los usuarios, en este tipo de casos no puedo dejar de pensar, primero, que las multas siempre van a los gobiernos, no a las víctimas, y segundo, que al multarlos solamente con dinero me da la impresión de que termina siendo algo así como un impuesto por comerciar con los datos de la gente, un costo más que las empresas tienen que considerar para hacer negocios que básicamente son ilegales, pero siguen haciendo una y otra vez.
Y desde el punto de vista de la protección, si hay datos que no querés que alguien más tenga, no se los des para empezar. Si tenés información sensible en las nubes de Google, Meta, Amazon, o quien sea, no te asustes cuando ellos se aprovechen de esa información. Como dice el dicho, "la nube es la computadora de otro".
Nos quedamos en tierras del Tío Sam, pero pasamos a la sección de noticias bizarras y de como el gobierno de Trump le juega en contra a la ciberseguridad de Estados Unidos. Si, otra vez.
En este caso, hablamos de Kristi Noem, la secretaria de la DHS, el Departamento de Seguridad Nacional de Estados Unidos, quien testificó ante el congreso por temas relacionados al control fronterizo y la deportación de personas.
Y te estarás preguntando ¿Pero que tiene que ver la deportación de personas con la ciberseguridad? En principio nada, pero en realidad bastante.
Porque parte de las políticas de ciberseguridad a nivel federal dependen de la DHS. Adivinen quien depende del DHS, sí, exactamente CISA, que tuvo problemas presupuestales últimamente.
¿Y porqué tuvo problemas presupuestales? Porque esta señora, siguiendo los lineamientos del presidente Trump, está obsesionada con el control fronterizo y migratorio y ha priorizado invertir dinero del DHS en esos temas, y dejar de invertirlo en ciberseguridad.
Y volviendo a hablar del caso de La Liga en españa y sus bloqueos indiscriminados, y avalados por la justicia, sobre miles, o como vamos a ver ahora millones de sitios web cada vez que se juega un partido de fútbol.
Un usuario publicó en Github el listado del top 1 millón de dominios que se bloquean en españa cada vez que hay fútbol, por estar hosteados o protegidos por Cloudflare. El listado también incluye las IP a las que resuelven sus DNS, supongo que por si alguien quiere accederlos directamente.
Sinceramente no hay mucho para comentar de esto más que la justicia española avala algo que es claramente injusto y hasta inconstitucional y que si no entienden como funcionan los incentivos en la piratería de cualquier tipo de contenido no lo van a poder solucionar de verdad nunca.
Y pasando a temas más técnicos, en Wordpress, un falso complemento, irónicamente de seguridad, es en realidad un plugin malicioso que permite ejecutar código remoto, ocultarse del panel de administración y mantener el acceso.
Además incluye una funcionalidad de ping para comunicarse con un servidor de comando y control y un código que ayuda a propagar malware en otros directorios e inyectar javascript malicioso para mostrar anuncios.
Este plugin podría estar relacionado con otra campaña de malware para wordpress de un skimmer web y con el grupo de ciberdelincuentes TAG-124.
Por más información sobre las variantes de estos plugins, está el link en las referencias y en general, es importante revisar periódicamente los plugins o demás tipo de complementos en nuestros sitios web y evitar instalar este tipo de herramientas de orígenes no confiables.
Por otro lado, se publicó una nueva vulnerabilidad de Fortinet. Es una vulnerabilidad de ejecución remota de código y está siendo explotada activamente. Tiene un puntaje CVSS de 9.6 ya que permite a atacantes no autenticados ejecutar código o comandos mediante solicitudes HTTP específicas.
Esta vulnerabilidad afecta FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera.
En uno de los casos conocidos de explotación activa los atacantes luego escanearon la red interna, habilitaron debugging de FCGI para recolectar credenciales y borraron los logs de errores para ocultar la evidencia.
Así que ya sabés, si tenés alguno de estos Fortiproductos en versiones vulnerables, a actualizar lo antes posible.
Y para terminar, tenemos la cagada de la semana, que si bien se publicó esta semana, existe desde hace mucho tiempo. Y viene, como no podría ser de otra manera, de la mano de nuestros amigos de Microsoft.
Lo que sucede es lo siguiente, si cambias tu contraseña en windows, podés seguir logueándote con las contraseñas anteriores por RDP. Sí, así como escuchaste, cambiás la contraseña porque, por ejemplo, se filtró en algún lado, pero sigue siendo válida para conexiones remotas. REMOTAS.
Y para peor, la respuesta de Microsoft a los investigadores que reportaron este problema, es el clásico "no es un bug, es una feature", porque supuestamente está pensado para que no pierdas acceso si te olvidas la contraseña nueva pero tenés una contraseña vieja, algo bastante raro porque cuando uno cambia la contraseña, está implícito que la contraseña vieja ya no funciona más, cosa que vemos que no se cumple en todos los casos.
Ya que Microsoft no piensa solucionar este "feature", las opciones para mantener la seguridad de los usuarios en estos casos pueden ser agregar un segundo factor de autenticación para que incluso con una contraseña vieja que funcione, un atacante no pueda acceder y otra opción es controlar el acceso remoto con una conexión segura previa, como una VPN, y que esa conexión si respete correctamente los cambios de contraseña.
“Cara de póker”. Detienen a un empleado del Banco Nación por filtrar datos de clientes para que les vacíen las cuentas
https://www.lanacion.com.ar/seguridad/cara-de-poker-detienen-a-un-empleado-del-banco-nacion-por-filtrar-datos-de-clientes-para-que-les-nid13052025/
Largest US crypto exchange says cost of recent cyber-attack could reach $400m
https://www.theguardian.com/us-news/2025/may/15/coinbase-cyber-attack-crytocurrency
Democrats say it's a 'sad day for DHS' under Kristi Noem's leadership in fiery House hearing
https://abcnews.go.com/Politics/house-democrats-kristi-noem-spar-immigration/story?id=121803220
Attorney General Ken Paxton Secures Historic $1.375 Billion Settlement with Google Related to Texans’ Data Privacy Rights
https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-secures-historic-1375-billion-settlement-google-related-texans-data
Dominios de la lista TOP 1M de BuilthWith bloqueados por Laliga - MovistarPlus en red DIGI
https://gist.github.com/jaumepons/ae17e9f02dd98475aa472036c8d63f98
Un complemento de seguridad falso en WordPress permite el acceso remoto de administrador a atacantes
https://ojocibernetico.com/2025/05/12/un-complemento-de-seguridad-falso-en-wordpress-permite-el-acceso-remoto-de-administrador-a-atacantes/
Fortinet CVE-2025-32756 Exploited in the Wild: Critical RCE Flaw Hits FortiVoice and More
https://securityonline.info/fortinet-cve-2025-32756-exploited-in-the-wild-critical-rce-flaw-hits-fortivoice-and-more/
Windows RDP lets you log in using revoked passwords. Microsoft is OK with that.
https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that/
