Informe de (In)seguridad: Ex malvados, cazabichos malicioso de Microsoft, hackeo de 4chan
20.05.2025
VolverEs hora de compartir los incidentes de seguridad que llamaron nuestra atención el mes pasado. En este resumen: un white hat hacker confiesa a ChatGPT, el empleado de MrBeast filma su propio reality show, contratistas roban entradas a los fans de Taylor Swift y otros incidentes.
Sin mí todo se vendrá abajo
Qué ocurrió: Un desarrollador vengativo dejó una "sorpresa" en los sistemas de TI de su empleador antes de irse.
Cómo ocurrió: Davis Lu trabajó como desarrollador de software durante más de una década en una empresa de tecnología sin nombre con sede en Beachwood. Sin embargo, en 2018, durante una reestructuración de la empresa, Davis fue degradado. Se dio cuenta de que podrían despedirle a corto plazo, por lo que empezó a preparar un plan de venganza por adelantado.
Para cuando Davis fue despedido oficialmente en 2019, su plan ya estaba en marcha: había inyectado un código malicioso en los sistemas de la empresa de TI que causaba errores en el sistema e impedía que los usuarios iniciaran sesión. Davis también eliminó los perfiles de sus compañeros e instaló un "botón de emergencia" que se activaba cuando los datos de Davis se eliminaban del controlador de dominio corporativo, bloqueando las cuentas de sus compañeros.
Una investigación posterior reveló que el exempleado había estado buscando en Google cómo elevar sus privilegios en el sistema y ocultar rastros de eliminaciones de archivos. Como resultado de las acciones de Lu, miles de usuarios y empleados de la empresa en todo el mundo no pudieron acceder a los sistemas.
No se ha revelado el daño, pero podrían ser cientos de miles de dólares. El tribunal declaró a Davis Lu culpable de delitos informáticos y ahora se enfrenta a hasta 10 años de prisión.
Todo lo que es secreto se aclara
Qué ocurrió: Oracle sufrió dos fugas de datos seguidas e intentó ocultarlas.
Cómo ocurrió: La primera filtración se conoció el 20 de marzo, cuando un cibercriminal apodado rose87168 anunció que el servicio en la nube de Oracle había sido invadido. Un intruso desconocido puso a la venta 6 millones de líneas de datos de clientes: claves privadas, credenciales encriptadas, etc. Como prueba, el cibercriminal subió al servidor de Oracle un archivo de texto con su dirección de correo electrónico.
Oracle negó inicialmente el incidente, pero el 21 de marzo, la empresa de seguridad CloudSEK realizó su propia investigación y confirmó la filtración. Según ellos, se produjo debido a un software obsoleto de Oracle, Fusion Middleware, que no se actualiza desde 2014.
Oracle informó entonces a algunos clientes sobre la filtración de datos obsoletos de un servidor desactualizado. Sin embargo, el cibercriminal no permitió a Oracle rebajar la categoría del incidente y proporcionó a los medios de comunicación muestras de datos bastante "frescos": de 2024 y 2025.
La información sobre la segunda filtración apareció el 28 de marzo. Entonces resultó que en febrero de 2025, un desconocido robó datos médicos de clientes de Oracle Health utilizando cuentas de clientes comprometidas.
La empresa actuó de la misma manera "abierta" que con Oracle Cloud: no notificó oficialmente el incidente ni a los reguladores ni al público, solo se puso en contacto con algunas de las víctimas. Los cibercriminales adoptaron un enfoque mucho más radical y empezaron a extorsionar en masa a los clientes de Oracle Health con millones de dólares a cambio de no revelar la información robada.
Un intento de ocultar el elefante en la habitación ha desembocado en una demanda. Se acusa a Oracle de encubrir filtraciones de datos y de no aplicar prácticas estándar de seguridad de datos.
Ahora trending: ruptura en directo reality
Qué ocurrió: Un antiguo empleado robó las credenciales de MrBeast, el youtuber estadounidense Jimmy Donaldson, y parece que instaló cámaras ocultas en su oficina.
Cómo ocurrió: En 2023, Leroy Nabors aceptó un trabajo como contratista informático en Beast Industries, una empresa propiedad del YouTuber Jimmy Donaldson. Luego fue ascendido al equipo de desarrollo de la empresa, donde trabajó hasta su despido en octubre de ese año.
Tras la marcha de Nabors, se descubrió que había trasladado cientos de archivos corporativos con información financiera a un dispositivo no identificado y a un DropBox personal. Donaldson pidió al ex empleado que borrara los datos, pero Nabors dijo que ya lo había hecho en su último día de trabajo.
Para llegar a la verdad y salirse con la suya, MrBeast acudió a los tribunales. Los documentos judiciales dicen que los registros del portátil de trabajo del infiltrado confirman el intento de robo de datos y su ocultación. Los responsables de la empresa también afirman que Neighbours conocía el inminente despido y, por tanto, se preparó para la filtración.
Lo que llama la atención es que los documentos judiciales no dicen nada sobre las multas e indemnizaciones habituales en estos casos, y la única petición del bloguero es que se borren los datos robados. Estamos a la espera del desenlace de la historia en YouTube trends.
¿Sueñan los ciberdelincuentes con confesarse?
Qué ocurrió: El cazador de fallos de Microsoft resultó ser un delincuente: su analfabetismo cibernético le delató.
Cómo ocurrió: En abril de 2025, la empresa de seguridad informática Outpost-24 publicó un extenso artículo sobre el hacker EncryptHub. En él, los expertos afirman que el ciberdelincuente que pirateó 618 empresas es también un cazador de bugs bajo el apodo de SkorikARI con SkorikARI. Según los investigadores, resultó ser un investigador que recibió una mención de honor del Centro de Respuesta a Amenazas de Microsoft por encontrar dos vulnerabilidades de día cero en Windows.
La conclusión de que el cazador de bugs está jugando un doble juego en Outpost-24 se hizo debido a los fallos de seguridad operativos del hacker. Por ejemplo, mezcló su vida criminal con la personal utilizando cuentas personales en la infraestructura para desarrollar y probar virus. El atacante también ignoró normas básicas de ciberhigiene: utilizó las mismas contraseñas, ignoró la autenticación de dos factores, etc.
Estos errores dejaron al descubierto elementos críticos de la infraestructura del criminal, lo que permitió a los investigadores determinar que la cuenta a través de la cual SkorikARI envió información a Microsoft pertenecía a EncryptHub.
Outpost-24 también obtuvo acceso a la correspondencia del cibercriminal con ChatGPT. El atacante utilizó el chatbot literalmente para todo: escribir código malicioso, investigar vulnerabilidades, redactar textos e incluso mantener conversaciones sobre temas profundamente personales. Por ejemplo, pidió a la IA que le ayudara a averiguar si era un hacker guay o un talentoso investigador de seguridad de la información del "lado luminoso".
El “equipo” de la ciberdelincuencia contra Taylor Swift
Qué ocurrió: Empleados de un contratista informático "piratearon el sistema" y se hicieron ricos con entradas para Taylor Swift.
Cómo ocurrió: El 3 de marzo, la fiscalía de Nueva York detuvo a Tyrone Rose y Shamar Simmons. Se les acusa de robar y revender más de 1.000 entradas por valor de 635.000 dólares.
La estafa era sencilla. Rose trabajaba para una empresa informática que gestionaba la plataforma de compra de entradas StubHub. Utilizaba su acceso para entrar en una parte privada de la red de la plataforma que asignaba URL a entradas que ya se habían vendido.
A continuación, Rose copiaba las URL de las entradas y se las enviaba a Simmons, que las revendía en StubHub a precios inflados. En total, Rose y Simmons robaron más de 900 entradas solo entre junio de 2022 y julio de 2023. Cabe destacar que casi todas eran para la gira de conciertos de Taylor Swift.
Si son declarados culpables, cada uno de los autores se enfrenta a una pena máxima de tres a quince años de prisión.
Había una razón
Qué ocurrió: Competidores hackearon el tablón de imágenes de 4chan
Cómo ocurrió: La noche del 14 de abril, el foro web 4chan fue pirateado y suspendido. La responsabilidad del incidente fue reivindicada por los miembros de un foro de imágenes competidor, Soyjak.party.
Informaron de que habían estado dentro de 4chan durante más de un año y publicaron capturas de pantalla de los paneles de administración y del código fuente del sitio como prueba. Los desconocidos también resucitaron temporalmente la sección /qa/ del foro, anteriormente prohibida, y publicaron allí la inscripción "U GOT HACKED XD".
Más tarde, los piratas informaron de los detalles del ataque. Según ellos, algunas secciones de 4chan permitían subir archivos PDF. Sin embargo, el sitio no comprobaba de ninguna manera que el usuario estuviera subiendo un archivo PDF y no otra cosa. Esto permitió subir el archivo PostScript, que luego fue interpretado por una versión anticuada de Ghostscript con muchas vulnerabilidades, y hacerse un hueco en el foro.
Para evitar que un insider malintencionado elimine datos sensibles, la organización necesita herramientas fiables de seguridad de la información. Por ejemplo, SearchInform next gen DLP Risk Monitor detecta y previene las fugas de datos, el sabotaje corporativo y otras acciones peligrosas de los empleados ofendidos y salientes. El FileAuditor, sistema DCAP de SearchInform, restaura los documentos críticos del archivo si el empleado ofendido ha decidido eliminarlos antes de salir de la empresa. Y el complejo incidente será revelado por el sistema SearchInform SIEM. Por ejemplo, compara el evento de inicio de sesión del sistema y las acciones peligrosas del empleado, y luego notifica al especialista en seguridad de la información.