Asociación Valenciana de Informática Sanitaria
incibeb
Estudiante de 19 años se declara culpable por el hackeo masivo a PowerSchool y extorsión millonaria
Matthew D. Lane, estudiante universitario de Massachusetts de 19 años, se declaró culpable de cargos federales por haber liderado un ciberataque masivo contra PowerSchool, una plataforma educativa ampliamente utilizada en EE.UU. y Canadá. Entre abril y mayo de 2024, Lane utilizó credenciales robadas para acceder ilegalmente a un proveedor de almacenamiento en la nube que presta servicios a sistemas escolares en Estados Unidos y Canadá. Con ello, consiguió transferir datos confidenciales de más de 60 millones de estudiantes y 10 millones de profesores a un servidor en Ucrania.
El actor exigió un rescate de 2.85 millones de dólares en Bitcoin para no divulgar la información robada, que incluía datos personales, números de seguridad social y detalles médicos. Además de la filtración de PowerSchool, Lane también se enfrenta a cargos por el intento de extorsión a la empresa de telecomunicaciones estadounidense AT&T, en el que exigió un rescate de 200.000 dólares y amenazó a ejecutivos de la empresa si no accedían al pago.
Los cargos presentados contra Lane, incluyen conspiración para la extorsión cibernética, extorsión, acceso no autorizado a sistemas protegidos y robo de identidad. Cada cargo relacionado con fraude informático podría resultar en hasta cinco años de prisión, libertad supervisada y sanciones financieras sustanciales, mientras que el cargo de robo de identidad conlleva una pena de prisión consecutiva de dos años.
El caso ha generado gran preocupación en el sector educativo y tecnológico, y las autoridades están reforzando la ciberseguridad en plataformas educativas. Lane será sentenciado próximamente y continúa bajo presunción de inocencia hasta la aceptación oficial de su declaración de culpabilidad.
Referencias- 21/05/2025 infobae.com Declaran culpable a un joven de 19 años por la mayor filtración de datos académicos de EEUU
- 20/05/2025 bleepingcomputer.com PowerSchool hacker pleads guilty to student data extortion scheme
- 20/05/2025 nbcnews.com 19-year-old accused of largest child data breach in U.S. agrees to plead guilty to federal charges
- 21/05/2025 gbhackers.com 19-Year-Old Hacker Admits Guilt in Major Cyberattack on PowerSchool
- 21/05/2025 reuters.com Massachusetts college student to plead guilty to PowerSchool data breach
Robo de datos y estafa a Coinbase mediante el soborno a sus empleados
El 15 de mayo, un informe presentado por Coinbase, plataforma para el comercio de criptomonedas, notificó que casi 70.000 de sus usuarios se vieron afectados por una filtración de datos que estaba ocurriendo desde diciembre de 2024. Entre la información comprometida, se filtraron fotos de pasaportes, documentos de identidad oficiales, nombres, fechas de nacimiento, los cuatro últimos dígitos del número de la Seguridad Social, números de cuentas bancarias e información sobre cuentas, incluidos saldos e historial de transacciones.
Los delincuentes sobornaron a los agentes de atención al cliente y soporte de Coinbase en el extranjero, presuntamente en India. Se llegó a convencer a un pequeño grupo de estas personas que trabajaban con información privilegiada para obtener acceso a la base de datos de la empresa. Su objetivo era recopilar una lista de clientes con los que pudieran ponerse en contacto, suplantando la identidad de la compañía para convencer a las víctimas de transferir sus fondos. Después, intentaron extorsionar a Coinbase por 20 millones de dólares. Sin embargo, la entidad decidió hacer pública la situación que estaba sufriendo.
Como respuesta, Coinbase ha implementado nuevas medidas de seguridad, incluido el rastreo de fondos robados, la vigilancia de retiradas de activos sospechosos y la oferta de una recompensa de 20 millones de dólares por información sobre los responsables. La empresa estima que los costos de mitigación oscilarán entre 180 y 400 millones de dólares.
Referencias- 15/05/2025 laverdadnoticias.com ALERTA CRIPTO: Coinbase Confirma Robo de Datos de Usuarios por Empleados Corruptos; Rechaza Pagar $20M de Rescate
- 19/05/2025 reuters.com Coinbase warns of up to $400 million hit from cyberattack
- 15/05/2025 elconfidencial.com Coinbase, la mayor plataforma cripto de EEUU, denuncia un ciberataque y un chantaje de 20 M
- 21/05/2025 therecord.media Nearly 70,000 impacted by Coinbase breach involving $20 million ransom demand
- 15/05/2025 coinbase.com Protecting Our Customers - Standing Up to Extortionists
Israel detiene a sospechoso buscado por EEUU por hackeo de Nomad Bridge
Alexander Gurevich, un ciudadano con doble nacionalidad estadounidense-israelí, ha sido arrestado en Jerusalén por la policía israelí por su presunta participación en el hackeo de Nomad Bridge, ocurrido en agosto de 2022, donde se robaron alrededor de 190 millones de dólares en criptomonedas. Además, las autoridades han iniciado los procedimientos legales, para extraditar a Gurevich a Estados Unidos.
El ataque a Nomad Bridge sucedió debido a la explotación de una vulnerabilidad introducida en una actualización del smart contract Replica, que debía verificar las comprobaciones de los mensajes antes de liberar cualquier fondo, pero el error de configuración permitía aceptar cualquier mensaje con un hash raíz correcto, aunque la mencionada comprobación anterior no fuera válida. Este error desencadenó un saqueo masivo por parte de cientos de atacantes que simplemente copiaron y pegaron un formato específico de transacción. Como resultado, se extrajeron más de 190 millones de dólares en varios tokens de criptomonedas.
Aunque se estima que Gurevich no ha desarrollado el código del exploit, las autoridades creen que habría tenido un rol central en el lavado de los fondos robados. Sus billeteras recibieron activos robados pocas horas después del ataque inicial, lo que sugiere coordinación con los primeros atacantes. Supuestamente se utilizaron técnicas como el “chain-hopping”, para mover los tokens robados a través de varias cadenas de bloques, se ocultó el origen de los fondos y se realizó la conversión a otras criptomonedas usadas para aumentar la privacidad del usuario. También se emplearon cuentas offshore para ocultar el origen de los fondos y convertirlos en dinero efectivo.
A pesar estos esfuerzos para ocultar las transacciones, el análisis de la cadena de bloques permitió rastrear la actividad y vincularla con Gurevich, lo que derivó en su arresto. Además, se descubrió que Gurevich se puso en contacto con el CTO de Nomad Bridge después del ataque, confesando haber estado buscando debilidades en la plataforma y exigiendo una recompensa de 500.000 dólares, lo que refuerza su implicación directa en los hechos.
Referencias- 16/05/2025 bleepingcomputer.com Israel arrests new suspect behind Nomad Bridge $190M crypto hack
- 06/05/2025 decrypt.co Israel Detiene a Sospechoso Buscado Por EEUU Por Hackeo de $190 Millones a Nomad Bridge
- 06/05/2025 cointelegraph.com Sospechoso del hackeo de 190 millones de dólares contra Nomad será extraditado a EEUU
- 06/05/2025 tronweekly.com Nomad Hack Suspect Extradited to U.S. Due to $190 Million Theft
Vulnerabilidad en aplicación de citas revela información personal y de ubicación de sus usuarios
La aplicación de citas Raw, lanzada en 2023 y con más de 500.000 descargas en Android, sufrió una grave filtración de datos que expuso públicamente información sensible de sus usuarios. Esta información incluía nombres de usuario, fechas de nacimiento, preferencias sexuales y datos de ubicación con una precisión de unos pocos metros. La filtración fue descubierta por TechCrunch realizando unas pruebas sencillas de funcionamiento sobre la aplicación, revelando que los datos se podían acceder fácilmente desde un navegador web sin autenticación previa.
Raw se promociona como una app que ofrece interacciones más genuinas, pidiendo a los usuarios subir selfies diarios. La compañía también anunció recientemente un dispositivo portátil llamado “Raw Ring”, diseñado para rastrear signos vitales de la pareja y detectar posibles infidelidades mediante inteligencia artificial. La aplicación, a pesar de afirmar en su sitio web y en sus políticas que sus servicios utilizan cifrado de extremo a extremo, TechCrunch no encontró evidencia de esta seguridad al analizar el tráfico de red de la app. En cambio, descubrió que los datos se transmitían sin ningún tipo de cifrado.
La vulnerabilidad, conocida como IDOR (referencia directa a objetos insegura), es un tipo de fallo que permite acceder o modificar datos de otros usuarios sin autorización adecuada. Al cambiar un identificador numérico en la dirección de la API, era posible ver la información privada de cualquier usuario.
Después de ser contactada por TechCrunch, la compañía corrigió rápidamente el problema y afirmó haber implementado medidas adicionales de seguridad. Sin embargo, su cofundadora confirmó que no se había realizado una auditoría de seguridad externa y evitó comprometerse a notificar directamente a los usuarios afectados. La empresa informó que presentará un informe ante las autoridades de protección de datos, pero no respondió a preguntas sobre posibles cambios en su política de privacidad.
Referencias- 02/05/2025 techcrunch.com Dating app Raw exposed users’ location data and personal information
- 05/05/2025 gizmodo.com Una app de citas accidentalmente revelaba la información personal y ubicación de los usuarios
- 06/05/2025 malwarebytes.com Your privacy is a promise we don’t break”: Dating app Raw exposes sensitive user data
- 05/05/2025 scworld.com Vulnerability exposes Raw dating app user information
Hackean una copia de la aplicación de mensajería Signal que usan asesores de Donald Trump
El 4 de mayo de 2025, un hacker anónimo reportó a los medios que había logrado acceder a datos sensibles de miembros del gobierno de Estados Unidos en TeleMessage, una aplicación de mensajería instantánea israelí que actúa como extensión de Signal. La puerta de entrada a este incidente fue la publicación de unas fotografías que mostraban al ex asesor de seguridad nacional Mike Waltz utilizando TeleMessage.
Aunque la aplicación Signal implementa cifrado de extremo a extremo para las comunicaciones, TeleMessage almacena copias de los mensajes ya descifrados, lo que abrió la puerta a esta brecha de seguridad. El atacante indica que logró entrar en el sistema con relativa facilidad y que obtuvo acceso a chats archivados, aunque también asegura que su intención era únicamente evaluar la seguridad del software. Entre la información comprometida, se accedió a nombres, datos de contacto, contraseñas del panel de control y otras informaciones sensibles. Las capturas de pantalla filtradas por el hacker muestran que instituciones como Aduanas y Protección Fronteriza (CBP), la empresa de criptomonedas Coinbase y otras entidades financieras estaban vinculadas a los datos expuestos.
El problema central radica en que TeleMessage interfiere en el cifrado seguro que ofrece Signal al añadir un tercer actor en la comunicación. Este sistema almacena los mensajes en servidores externos después de haber sido descifrados, en un intento de cumplir con normativas gubernamentales sobre la conservación de comunicaciones. Sin embargo, al no aplicar cifrado robusto a estas copias, se convierten en un objetivo fácil para ciberdelincuentes.
Así pues, el hacker pudo demostrar que esos archivos no estaban debidamente protegidos y señala los riesgos de usar herramientas que alteran la seguridad de aplicaciones diseñadas para mantener la privacidad de las comunicaciones.
Referencias- 05/05/2025 elespanol.com Nuevo golpe a la seguridad estadounidense: hackean una copia de Signal que usan asesores de Donald Trump
- 04/05/2025 404media.co The Signal Clone the Trump Admin Uses Was Hacked
- 10/05/2025 wired.com How the Signal Knockoff App TeleMessage Got Hacked in 20 Minutes
- 05/05/2025 reuters.com Tech site 404 Media says Signal-like app used by Trump adviser was hacked
Presunto ciberataque de China a la Republica Checa
El 28 de mayo de 2025, la República Checa ha realizado una acusación formal con motivo del presunto ataque realizado por el grupo de ciberespionaje chino “APT31”. Estos habrían realizado una campaña intrusiva contra el Ministerio de exteriores checo, filtrando información sensible desde el año 2022.
Según los servicios de inteligencia checos, APT31 logro introducirse durante meses en el sistema accediendo a correos electrónicos diplomáticos no clasificados. Aparentemente, no se han comprometido redes más sensibles, pero sí se hace especial mención a la sofisticación del incidente y la persistencia del mismo, por lo que se ha catalogado como una amenaza directa a la integridad institucional de la Republica Checa.
Esta sería la primera vez que un grupo miembro de la Unión Europea (UE) tomará la decisión de responsabilizar abiertamente a un actor estatal de un incidente de seguridad de esta magnitud.
El impacto de este incidente no solo radica en la información sensible que aparentemente se ha robado, si no en que se ha realizado en el momento en el que la Republica Checa se encuentra al frente del Consejo de la UE y las discordancias entre Bruselas y Pekín por la influencia tecnológica, comercial y geopolítica.
Por otro lado, la UE está “dispuesta a imponer costes” a China como respuesta al ciberataque. "Este ataque es una violación inaceptable de las normas internacionales. La UE no tolerará acciones cibernéticas hostiles, y nos solidarizamos con la República Checa", declaró el miércoles por la tarde la responsable de Política Exterior del bloque.
El grupo APT31, también llamado como “Zirconium”, es un grupo vinculado al Ministerio de Seguridad del Estado chino, con sede en Wuhan. Este grupo ha llegado a realizar ataques contra instituciones gubernamentales de Estados Unidos y Europa, así como contra empresas del sector tecnológico y campañas electorales, como la del entonces candidato Joe Biden en 2020.
Referencias- 28/05/2025 mzv.gov.cz Statement by the Government of the Czech Republic
- 28/05/2025 securityweek.com Czech Government Condemns Chinese Hack on Critical Infrastructure
- 28/05/2025 asahi.com Czech Republic accuses China of ‘malicious cyber campaign’ against its foreign ministry
- 28/05/2025 europapress.es China rechaza las "infundadas acusaciones" de República Checa sobre ciberataques al Ministerio de Exteriores
- 28/05/2025 elperiodico.com La República Checa acusa a China de lanzar un ciberataque contra su gobierno
- 29/05/2025 mundiario.com Europa responde al ciberataque chino a la Republica Checa: ¿una nueva era de confrontación digital?
Brecha de datos en la plataforma Oracle Cloud
El 25 de marzo de 2025, el actor de amenazas Rose87168 publicó en un foro de ciberincidentes datos confidenciales robados de clientes de Oracle Cloud, afirmando poseer millones de registros vinculados a más de 140.000 usuarios de Oracle Cloud, incluidas credenciales cifradas. El hacker publicó 10.000 registros de clientes, un archivo que muestra el acceso a Oracle Cloud, credenciales de usuario y un vídeo interno como prueba.
El actor, activo desde enero de 2025, ha exigido pagos a las empresas afectadas para eliminar los datos de la filtración. En un principio, intentó extorsionar a Oracle por 20 millones de dólares, pero más tarde ofreció los datos robados para su venta o a cambio de supuestos exploits de día cero.
Oracle ha negado las afirmaciones del actor de la amenaza, afirmando que no hubo violación de seguridad de Oracle Cloud y que las credenciales filtradas no estaban relacionadas. La compañía aseguró que ningún dato de clientes se vio comprometido. Sin embargo, varios medios informaron de que varias empresas les han confirmado que los datos filtrados de Oracle son auténticos e incluyen nombres LDAP, correos electrónicos y otros registros. De hecho, la firma de ciberseguridad Cloudsek, señaló que existía una versión vulnerable de Oracle Fusion Middleware ejecutándose en el servidor comprometido. Oracle ha desconectado el servidor desde entonces.
Por otro lado, mientras el FBI y CrowdStrike están investigando el incidente, se ha detectado que Oracle ha estado notificando en privado a sus clientes de una brecha que afecta a nombres de usuario, claves de acceso y contraseñas cifradas. Investigadores afirman que Oracle solo ha enviado notificaciones verbales de la filtración a sus clientes de la nube, sin comunicación escrita.
Referencias- 24/03/2025 computerworld.es Oracle niega una brecha masiva de datos en su infraestructura ‘cloud’
- 21/03/2025 kippl01.com Oracle asegura que no hubo brecha de seguridad tras las afirmaciones de un hacker sobre 6 millones de registros robados
- 03/04/2025 bleepingcomputer.com Oracle privately confirms Cloud breach to customers
- 21/03/2025 bleepingcomputer.com Oracle denies breach after hacker claims theft of 6 million data records
Operación SyncHole: Ciberataque de Lazarus a empresas de Corea del Sur
El grupo hacker Lazarus de Corea del Norte ha atacado a varias empresas de Corea del Sur a través de una campaña denominada Operación SyncHole, que tuvo lugar entre noviembre de 2024 y febrero de 2025. El actor de la amenaza combinó una estrategia de “ataque de abrevadero” con la implementación de un exploit de una vulnerabilidad en el cliente de transferencia de archivos, que es obligatorio en Corea del Sur para completar ciertas tareas financieras y administrativas.
Esta campaña ha sido reportada por el equipo de inteligencia de amenazas de Kaspersky. En este reporte, se explica que las víctimas eran redirigidas desde sitios web de medios de comunicación comprometidos hasta sitios de falsos proveedores de software, donde el malware se introducía con un archivo ejecutable a través de un JavaScript malicioso. Kaspersky observó múltiples cadenas de infección en seis víctimas confirmadas, con varias diferencias en fases anteriores y posteriores del ataque, y siendo sólo la infección inicial el punto en común. Basándose en estas tácticas y en las muestras de malware detectadas en la operación SyncHole, se ha comprobado que Lazarus está evolucionando hacia herramientas ligeras y modulares que son más sigilosas y configurables.
Durante el análisis del ataque, los investigadores también encontraron un fallo de día cero no explotado (KVE-2024-0014) en versiones específicas de una plataforma de compartición de ficheros denominada “Innorix Agent”, la cual permitía la descarga arbitraria de archivos. El problema de seguridad se notificó a través de la Agencia Coreana de Internet y Seguridad (KrCERT), y el proveedor publicó actualizaciones para el software explotado.
Referencias- 26/04/2025 ciberninjas.com Ciberataque de Lazarus a Empresas de Corea del Sur, denominado Operación SyncHole
- 24/04/2025 bleepingcomputer.com Lazarus hackers breach six companies in watering hole attacks
- 24/04/2025 kaspersky.com Kaspersky uncovers new Lazarus-led cyberattacks targeting South Korean supply chains
- 24/04/2025 thehackernews.com Lazarus Hits 6 South Korean Firms via Cross EX, Innorix Flaws and ThreatNeedle Malware
EE.UU. y Canadá colaboran para desbaratar la estafa del “phishing de aprobación” de la blockchain Ethereum
Analistas del Servicio Secreto de Estados Unidos colaboraron con funcionarios canadienses de la Comisión de Valores de la Columbia Británica (BCSC) en la Operación Avalancha para combatir las estafas de “phishing de aprobación” en la blockchain de Ethereum.
En esta operación participaron reguladores de valores, múltiples agencias policiales canadienses y plataformas de comercio de criptomonedas con el objetivo de encontrar carteras comprometidas en la blockchain de Ethereum. Entre las plataformas participantes se encontraban Netcoins, Ndax, Coinbase, Wealthsimple, Shakepay, Kraken y Coinsquare. El objetivo de la operación era desbaratar el fraude y recuperar los activos robados, con un drenaje estimado de 4,3 millones de dólares de los monederos afectados.
El “phishing de aprobación” es una estafa en la que se engaña a las víctimas para que concedan acceso a su criptocartera en la blockchain de Ethereum. Una vez concedida la aprobación, el estafador obtiene acceso y puede retirar fondos sin el conocimiento del propietario. Esto suele formar parte de una estafa mayor conocida como “estafa sentimental”, que consiste en que los estafadores se ganan la confianza de sus víctimas potenciales y las manipulan para que transfieran fondos para invertir en proyectos falsos de criptomoneda.
Por su parte, las autoridades han advertido a los propietarios de esas carteras comprometidas que han sido víctimas de este tipo de estafa. Asimismo, se anima a las víctimas de estafas con criptomonedas a denunciar el fraude a las fuerzas de seguridad locales y a los organismos pertinentes.
Referencias- 16/04/2025 diariobitcoin.com Servicio Secreto de EEUU y Canadá frenan millonaria estafa de phishing en Ethereum
- 16/04/2025 bcsc.bc.ca BCSC disruption of overseas crypto fraud alerts nearly 100 Canadian victims
- 17/04/2025 secretservice.gov U.S. Secret Service Analysts Work with Canadian Officials to Disrupt Ethereum Blockchain “Approval Phishing” Scam
- 17/04/2025 criptofacil.com Megaoperativo desmantela estafa millonaria con criptomonedas en Estados Unidos y Canadá
