viernes, 9 de febrero de 2024

ONLYFAKE da inicio a la nueva era de la falsificación utilizando IA

Desde hace años, el uso de herramientas digitales han tenido una participación indispensable en la falsificación de documentos oficiales como lo han demostrado las decenas de legislaciones en todo el mundo al respecto. Sin embargo el surgimiento de la IA para diversos fines de aceleración de actividades que antes requerían horas de esfuerzo humano han acelerado también la aparición de cibercrímenes que antes eran mucho más complejos de elaborar.

El caso de ONLYFAKE es particularmente alarmante para el entorno de la investigación digital, ya que la plataforma ha puesto al alcance del usuario de internet no especializado una peligrosa herramienta de falsificación de documentación oficial a un precio accesible para millones de bolsillos.


El sitio asegura utilizar un sistema de IA para duplicar todos los elementos que permiten identificar a un documento de identidad como legítimo. Si bien la impresión representa un reto adicional, muchas personas han olvidado que muchos trámites se han digitalizado, por lo que se piden únicamente documentos escaneados, siendo este uno de los puntos de mayor preocupación para los especialistas.

Si bien en estos momentos ha arrancado su uso en la DarkNet (ya que el nombre del dominio se diferencia únicamente por un caracter con otro sitio web), si esta herramienta logra una financiación lo suficientemente lucrativa, es probable que decida extenderse aún más a la surface web y también haya otros cibercriminales que desarrollen sitios con el mismo servicio.


Finalmente otro punto vulnerable que requiere gran atención se basa en el enorme riesgo que representa la base de datos que la plataforma vaya acumulando. Ya que el robo de identidad quedaría a disposición de quienes reciban el contenido digital de las identificaciones.

miércoles, 22 de noviembre de 2023

El Banco Chino ICBC sufre un ataque de Ransomware y afecta el mercado del Tesoro de EEUU

Desde que el cibercrimen se posicionó como la actividad delictiva más lucrativa de la historia a nivel mundial, el sector financiero se convirtió en el preferido por los ciberatacantes enfocados en ofensivas contra compañías.

La razón resulta un tanto obvia, al ser el ámbito donde por lógica se acumula el capital electrónico a nivel mundial; una vulneración a su sistema implica una alta probabilidad de obtener ganancias económicas directas.

Uno de los ejemplos más recientes y de impacto internacional, fue la vulneración al banco chino ICBC, una de las instituciones financieras más importantes de China, que al mismo tiempo generó consecuencias en el panorama internacional.


El ciberataque registrado fue un ransomware y al parecer, de acuerdo a la postura oficial la información comprometida no significó una pérdida importante como para afectar las actividades a mediano plazo.

Sin embargo, al parecer esto sí provocó que sus actividades se detuvieran momentáneamente y a su vez, trajo consigo un efecto cadena que llegó al mercado del Tesoro estadounidense.


Este es solo uno de los ejemplos más recientes que demuestra cuan fácil puede colapsar el sistema económico mundial a partir de un ciberataque a gran escala, ya que si tomamos como base las consecuencias que tuvo un ataque de ransomware "menor", si alguna institución financiera estadounidense, china, inglesa, alemana o de algún otro país que concentre una importante cantidad de recursos en el mundo llega a ser víctima de una vulneración de alto impacto, esta situación podría materializarse.

El 2024 se perfila como el año del cibercrimen a través de la IA

A poco más de mes y medio para que el 2023 culmine, se puede considerar al pasado 2022 como el año donde la Inteligencia Artificial se posicionó como un recurso común más allá de la industria tecnológica, pero fue en el actual 2023 donde aconteció la explosión mediática y de uso cotidiano para el usuario común.

Aunque la mayoría de usuarios se concentraba en agilizar varias actividades, y otro tanto únicamente hacía uso de estas herramientas con fines puramente de ocio; era de esperarse que los cibercriminales también empezaran a darle uso para sofisticar sus ataques.



Por razones de prevención, y en consideración a la alta cantidad de visitantes en este blog, no se profundizará ni se darán instrucciones específicas de cómo se puede utilizar una IA para realizar ciberataques. Pero sí se pueden dar indicios de algunas actividades que los cibercriminales han realizado con fines maliciosos:
  • En un primer ejemplo, nos encontramos con el uso de la escritura de código para la creación de malware, destacando principalmente para el diseño de ransomware, convirtiéndose en uno de los ciberataques más comunes.
  • Otro uso inadecuado ha sido en la creación de páginas apócrifas, las cuales ahora gracias a la IA, se pueden realizar con una velocidad tan avanzada que se pueden crear decenas simultáneamente, favoreciendo el robo de información y las estafas.
  • Adicionalmente otra faceta preocupante es la falsificación de voces, vídeos e imágenes; ya que si bien las notificas falsas han sido una constante durante más de una década, ahora el realismo de este material generado ha multiplicado su impacto.

Es de esta manera como se ha abierto un nuevo panorama para la cibercriminalidad, sin embargo, también nos hemos encontrado con nuevas herramientas de ciberseguridad que han sido potenciadas por la IA, y depende de los profesionales en el área realizar los estudios correspondientes, intentando equilibrar el complejo escenario de nuestra seguridad de la información.


lunes, 20 de noviembre de 2023

Se detecta un troyano preinstalado en miles de dispositivos chinos Android disponibles en Amazon y Mercado Libre

Durante varios años, la abrumadora presencia de China en la exportación de sus dispositivos tecnológicos ha sido una costumbre para la mayoría de países en el mundo. La principal razón reside en primer lugar en sus bajísimos precios en comparación al resto de exportadores, así como en su variedad de sus modelos y en el acceso a dispositivos con funciones y características que muchas veces pueden igualar o incluso superar las que ofrecen marcas de otros países en sus líneas premium.

Como era de esperarse de este crecimiento comercial, muchas hipótesis se crearon alrededor de esta industria; muchas veces exageradas y con un sospechoso origen por parte de algunas empresas europeas que se veían seriamente afectadas por esta oleada de productos que superaban su oferta.


Teniendo en cuenta este contexto, es indispensable para el investigador no crear prejuicios y esperar a emitir opiniones profesionales hasta que haya evidencia disponible, como fue en este caso.

La firma de ciberseguridad Human Security ha informado que millones de dispositivos, la mayoría de ellos diseñados para instalarse en Android TV han sido fabricados con malware preinstalado, aprovechando que el sistema operativo utilizado está basado en el modelo abierto de AOSP.


Este malware fue denominado por los especialistas como badbox, y se calcula que son más de 15 millones de dispositivos los que han sido exportados desde China.

La complejidad de este problema reside en que este puede ejecutarse de forma remota desde el momento en que el dispositivo es instalado o cuando se conecta a internet, lo que permite tomar el control del equipo y extraer toda la información que el artefacto recibe. Además de que preliminarmente se han encontrado bases de datos que son colocadas a la venta en la darkweb, aunque esto último deberá corroborarse en los próximos meses.

Asimismo se ha liberado una lista de los modelos donde se ha encontrado este malware, intentando advertirle a usuarios particulares, así como empresas e instituciones educativas. A continuación se compartirá con fines preventivos:

  • T95 
  • T95Z 
  • T95MAX 
  • X88 
  • Q9 
  • X12PLUS 
  • MXQ Pro 5G
  • J5-W


miércoles, 5 de julio de 2023

El ciberataque masivo al Departamento de Salud de EEUU y sus cientos de miles de víctimas

Las agencias gubernamentales de las principales potencias industriales en el mundo suelen volverse blanco de tentativas de ataques casi diario, por lo que sus sistemas de defensa deben estar en permanente guardia; a pesar de esto en ocasiones algunos grupos cibercriminales son capaces de completar exitosamente alguna clase de ciberataque.

Tal es el caso del grupo cibercriminal "CLOP" el cual completó un robo de datos masivo al Departamento de Salud de Estados Unidos, siendo reportado por importantes medios como CNN o la BBC.


Las cifras se calculan en alrededor de 100,000 registros personales. Esta situación adquiere un agravante en dicho país, ya que como se sabe el número de seguridad social representa uno de los recursos de identificación más recurrentes.

Hasta el momento de la redacción de esta entrada, los registros no han sido publicados, sin embargo, la posesión de estos por parte de los cibercriminales les permite una extensa variedad de oportunidades de beneficio a partir de la suplantación de identidad y su uso para distintos fines.


Este ataque se dio a conocer por obligación legislativa, ya que en Estados Unidos los organismos públicos están obligados a reportar cualquier ciberataque, que tenga un mínimo de 100,000 víctimas. Si bien el congreso ya ha sido enterado, aún no se han anunciado medidas oficiales.

En este tipo de vulnerabilidades, el primer paso de los equipos de respuesta es determinar el fin de la información robada, ya que las medidas que se deben tomar frente a una divulgación pública son muy distintas a aquellas donde se colocan a la venta en la DarkNet o que, como ya se mencionó si estas se robaron con el fin de crear suplantaciones de identidad de forma masiva.

martes, 4 de julio de 2023

La expansión de malware a través de software apócrifo de ChatGPT

La piratería o falsificación de software es un tema que continuamente se ha tocado en las entradas de este blog, incluso ha sido de las discusiones más profundizadas debido a las implicaciones ideológicas y de principios que hay alrededor de esta práctica.

Y es que también, una de las principales opciones de distribución de malware es a través de este medio: el software apócrifo que contiene malware. Y es un nuevo caso el que compete a esta entrada: el de malware asociado a versiones de el famoso ChatGPT.



Si no te encuentras familiarizado con lo que hace ChatGPT exactamente, debes saber que es un ChatBot (un programa diseñado para interactuar con el usuario a través de conversaciones de chat) que utiliza Inteligencia Artificial (AI por sus siglas en inglés), desarrollado por la empresa OpenAI la cual en un principio había colocado productos gratuitos, pero a medida que el proyecto se consolidó y comenzó a tener una creciente actividad de usuarios, así como una base de datos lo suficientemente extensa para ser comercializada, su servicio pasó a ser de paga y esto ocasionó malestar a quienes utilizaban su versión beta de forma libre.

Naturalmente esta decisión, acarreó una serie de reacciones inmediatas que muchos cibercriminales decidieron aprovechar para su beneficio: versiones gratuitas, extensiones, complementos y hasta versiones avanzadas del mismo servicio comenzaron a ofertarse en sitios de software libre y de piratería: a lo que muchos usuarios sin considerar en los riesgos han decidido instalar estos programas.


Como ha sucedido en la instalación de software no licenciado de aplicaciones legitimas (por ejemplo, en el comentado caso de las versiones de WhatsApp), empresas de ciberseguridad, como ESET han encontrado que el malware que contenían este falso contenido se enfocaban en la recolección de memoria cache y robo de datos de acceso, principalmente en cuentas de Facebook (las cuales son relativamente fáciles de vulnerar para quien ha robado información de usuario y contraseña).

Por esta razón se debe ser en extremo cuidadoso cuando se realiza la instalación de programas sin licencia y verificarlos previamente, ya que los problemas que estos causan pueden llegar a ser mucho más perjudiciales que el ahorro del pago por una licencia original.

jueves, 29 de junio de 2023

WhatsApp Pink y las aplicaciones alternativas que terminan con millones de víctimas

La piratería existe aún antes del nacimiento de la computación, es una respuesta natural del ser humano que se origina por diversos factores frente a una versión "oficial" que aspira a ser la única.

No obstante, en la actualidad, en un mundo donde los sistemas computacionales ocupan buena parte o incluso la mayor parte de la vida de billones de seres humanos en el mundo, la piratería ha sido adoptada como una práctica común donde muy cerca del 100% de usuarios frecuentes de internet han utilizado programas no legítimos distintos al fabricante.

Es en este tenor donde las aplicaciones han sustituido decenas de actividades diarias, también han ido encontrando sus propias versiones apócrifas; algunas que eliminan la opción de pago por su uso y otras que, en el caso de que sean gratuitas ofrecen mayores opciones y herramientas que la aplicación original. Tal es el caso de Whatsapp, la mayor plataforma de mensajería instantánea de la actualidad en el mundo occidental. Esta herramienta es una de las que mayores alternativas no oficiales exitosas ha desarrollado, algunas de ellas muy peligrosas.




Entre estas populares versiones se encuentran el Whatsapp "Gold", Black" y "Blue", cada uno con distintas herramientas que permiten tomar ventajas sobre la privacidad del Whatsapp oficial, razón por la cual han sido millones de usuarios que se han arriesgado a instalar la aplicación en estos móviles, pero ¿qué consecuencias han traído para quienes cuentan con este software?

Naturalmente la exposición al malware se incrementa notoriamente al utilizar software desarrollado por terceros sin autorización, ya que incluso la aplicación oficial ha tenido problemas de vulnerabilidades y polémicas con el uso de datos de sus usuarios, esta situación se agrava al no haber regulaciones claras cuando un desarrollador es desconocido en el medio.

Entre las consecuencias que ya se han registrado oficialmente entre las víctimas de estos programas, han sido principalmente el spyware, es decir un malware cuya función es espiar en tiempo real información que el usuario comparte, comprometiendo crucialmente su privacidad; otro malware bastante común han sido los keyloggers los cuales son capaces de registrar cada palabra escrita para tener acceso a contraseñas y credenciales escritas en el dispositivo.


Ahora, en una de las versiones más recientes se ha popularizado el "Whatsapp Pink", el cual es particularmente más riesgoso que algunas de las opciones más populares de esta plataforma.

La razón, es que se ha confirmado que varias APKs contienen un malware muy agresivo que está específicamente dirigido hacía aplicaciones bancarias y de pago, con el propósito de realizar cargos no reconocidos o transferencias hacía cuentas internacionales. Si bien algunas instituciones bancarias cuentas con factores de autenticación, algunos malware son capaces de acceder (de acuerdo a los permisos otorgados) a los SMS o a la sección de llamadas, obteniendo así códigos por distintas vías, autorizandose ellos mismos las transacciones.

Esta es una de las mecánicas de ataque que se encuentran específicamente detalladas y esto permite alertar adecuadamente a cada usuario sobre la exposición a la que se enfrenta al hacer uso de este tipo de contenido.