Caos cibernético de la semana: desde una «invasión extraterrestre» en Brasil hasta un botnet en antiguos D-Link y el arresto de un criptohacker
La semana estuvo cargada de eventos en el ámbito de la ciberseguridad: desde ataques curiosos a sistemas gubernamentales hasta graves amenazas para el sector de las criptomonedas. Analicé los incidentes clave para ofrecerte una imagen completa de lo que está sucediendo.
Caos en Brasil: hackers activaron la sirena de «invasión»
El sistema nacional de alerta de emergencia de Brasil, Defesa Civil Alerta, sufrió un audaz ataque en la noche del 20 de junio. Los atacantes, tras vulnerar las cuentas de los empleados, enviaron a los residentes de varios estados mensajes de máxima prioridad. Las sirenas de los teléfonos inteligentes sonaron incluso en modo silencioso. En lugar de advertencias sobre inundaciones o deslizamientos de tierra, los ciudadanos recibieron un texto incoherente con la palabra «misantropía» y errores tipográficos, y en algunas regiones, incluso mensajes sobre un «ataque extraterrestre». Para detener el caos, las autoridades tuvieron que apagar forzosamente los servidores a la 1:30 de la madrugada. Este incidente es un claro ejemplo de lo vulnerable que puede ser la infraestructura crítica si el acceso a ella no está suficientemente protegido.
Canadá aplica por primera vez la «limpieza remota» de dispositivos
El servicio de inteligencia canadiense obtuvo una orden judicial sin precedentes para intervenir de forma remota en el funcionamiento de dispositivos infectados de ciudadanos. El objetivo fueron las botnets que utilizan routers domésticos y dispositivos IoT para enmascarar ataques contra la infraestructura crítica del país. Esta operación puso de manifiesto el problema de los equipos obsoletos: los hackers explotan activamente dispositivos con contraseñas de fábrica y soporte discontinuado. En particular, el equipo de XLab descubrió la botnet AryStinger, que vulneró más de 4000 routers D-Link obsoletos (modelos DIR-850L y DIR-818LW), convirtiéndolos en servidores proxy para robar tráfico e interceptar consultas DNS. El 48% de las infecciones se concentraron en Corea del Sur, China, Suecia, Malasia y Singapur. Esto es una ilustración clara de que incluso un «inteligente» timbre de puerta puede convertirse en parte de una amenaza cibernética global.
Gaslight, el infostealer para macOS: engañar a la IA para pasar desapercibido
Investigadores de SentinelOne descubrieron un nuevo malware para macOS: Gaslight. Su principal «gracia» es atacar las herramientas de análisis automatizado de código basadas en IA. Dentro del archivo se oculta un cargador que contiene 38 mensajes de error falsificados, formateados en Markdown. Estas cadenas funcionan como inyecciones de prompt para grandes modelos de lenguaje. El objetivo es hacer que el agente de IA crea que la muestra está «rota» o dañada y detenga el análisis. Este es un nuevo nivel de evolución del malware, dirigido a los puntos débiles de los sistemas modernos de ciberseguridad.
Europol asesta un golpe a la red de Amadey y StealC
Una operación coordinada de Europol y las fuerzas del orden de una decena de países llevó a la desarticulación de la red de distribución de los malwares SocGholish, Amadey y StealC. El troyano Amadey se utilizaba para el acceso inicial, tras lo cual se desplegaba el infostealer StealC, especializado en el robo de contraseñas, datos de tarjetas y, lo que es especialmente importante para nosotros, frases semilla de criptomonederos. Los resultados son impresionantes: se incautaron 326 servidores, se congelaron criptoactivos por valor de más de 47 millones de dólares y se incautó una base de datos con 27 millones de credenciales robadas. Destaco especialmente que se limpiaron alrededor de 15 000 sitios en WordPress que los hackers utilizaban para la distribución oculta de virus bajo la apariencia de actualizaciones.
Detención en Polonia: ZachXBT revela la identidad de un hacker
La policía polaca, con el apoyo del FBI, detuvo a cuatro miembros de un grupo dedicado al SIM swapping, el robo de criptoactivos y el lavado de dinero. Los hackers clonaban números de teléfono, eludiendo la autenticación de dos factores (2FA), y retiraban fondos de exchanges. La cantidad de dinero lavado se estima en decenas de millones de zlotys. Las autoridades no revelaron los nombres, pero el analista on-chain ZachXBT identificó a uno de los detenidos como Wojtek Kulish (conocido como Merry), cotejando su ropa y joyas con el video operativo de la policía. Este caso es otra prueba de que el anonimato en la red es una ilusión, y que incluso una identidad cuidadosamente oculta puede ser revelada.
Mi comentario: Esta semana demostró que los ciberdelincuentes son cada vez más ingeniosos, atacando no solo a los usuarios, sino también a las propias herramientas de protección. Para la comunidad cripto, la conclusión clave es la necesidad de usar monederos hardware y extremar la vigilancia al trabajar con cualquier actualización o notificación. La vulnerabilidad de los routers antiguos de D-Link y los ataques a los sistemas de alerta de emergencia son solo la punta del iceberg. La seguridad comienza con principios básicos: actualice los firmwares, use contraseñas complejas y nunca confíe en fuentes no verificadas.