Es fin de año. Eso significa que es hora de que celebremos las mejores historias de ciberseguridad. nosotros no lo hicimos publicar. Desde 2023, TechCrunch ha repasado las mejores historias del año en materia de ciberseguridad.
Si no estás familiarizado, la idea es simple. En la actualidad hay decenas de periodistas que cubren la ciberseguridad en idioma inglés. Cada semana se publican muchas historias sobre ciberseguridad, privacidad y vigilancia. Y muchos de ellos son geniales y deberías leerlos. Estamos aquí para recomendarte los que más nos gustaron, así que ten en cuenta que es una lista muy subjetiva y, al fin y al cabo, incompleta.
De todos modos, entremos en ello. — Lorenzo Franceschi-Bicchierai.
De vez en cuando, hay una historia de piratas informáticos que, tan pronto como empiezas a leer, piensas que podría ser una película o un programa de televisión. Este es el caso del relato muy personal de Shane Harris sobre su correspondencia de meses con un importante hacker iraní.
En 2016, el periodista de The Atlantic se puso en contacto con una persona que decía trabajar como hacker para la inteligencia de Irán, donde afirmó haber trabajado en operaciones importantes, como el derribo de un dron estadounidense y el ahora infame ataque contra el gigante petrolero Saudi Aramco, donde los piratas informáticos iraníes borraron las computadoras de la compañía. Harris se mostró escéptico con razón, pero mientras seguía hablando con el hacker, quien finalmente le reveló su verdadero nombre, Harris comenzó a creerle. Cuando el hacker murió, Harris pudo reconstruir la historia real, que de alguna manera resultó ser más increíble de lo que el hacker le había hecho creer.
La apasionante historia también es una excelente mirada entre bastidores a los desafíos que enfrentan los periodistas de ciberseguridad cuando tratan con fuentes que afirman tener grandes historias para compartir.
En enero, el gobierno del Reino Unido emitió en secreto a Apple una orden judicial exigiendo que la empresa construyera una puerta trasera para que la policía pudiera acceder a los datos de iCloud de cualquier cliente en el mundo. Debido a una orden de silencio mundial, fue sólo porque El Correo de Washington Nos dio la noticia de que, para empezar, supimos que la orden existía. La demanda fue la primera de su tipo y, si tiene éxito, sería una gran derrota para los gigantes tecnológicos que han pasado la última década bloqueándose los datos de sus usuarios para no verse obligados a proporcionárselos a los gobiernos.
Posteriormente, Apple dejó de ofrecer su almacenamiento en la nube cifrado de extremo a extremo a sus clientes en el Reino Unido en respuesta a la demanda. Pero al dar la noticia, la orden secreta salió a la luz pública y permitió que tanto Apple como sus críticos examinaran los poderes de vigilancia del Reino Unido de una manera que no se había probado en público antes. La historia desató una disputa diplomática de meses entre el Reino Unido y Estados Unidos, lo que llevó a Downing Street a abandonar la solicitud, para volver a intentarlo varios meses después.
Esta historia fue el tipo de acceso instantáneo con el que algunos periodistas soñarían, pero el editor en jefe de The Atlantic pudo desarrollarse en tiempo real después de que, sin saberlo, lo agregaron a un grupo de Signal de altos funcionarios del gobierno de EE. UU. por un alto funcionario del gobierno de Estados Unidos discutiendo planes de guerra desde sus teléfonos celulares.
Leer la discusión sobre dónde deberían arrojar bombas las fuerzas militares estadounidenses (y luego ver informes de noticias sobre misiles que caen al suelo en el otro lado del mundo) fue la confirmación de que Jeffrey Goldberg necesitaba saber que estaba, como sospechaba, en una conversación real con funcionarios reales de la administración Trump, y que todo esto estaba registrado y se podía informar.
Y así lo hizo, allanando el camino para una investigación (y crítica) de meses de duración sobre las prácticas operativas de seguridad del gobierno, en lo que se llamó el mayor error de opsec del gobierno en la historia. El desmoronamiento de la situación finalmente expuso fallas de seguridad relacionadas con el uso de un clon de señal de imitación que puso en peligro aún más las comunicaciones aparentemente seguras del gobierno.
Brian Krebs es uno de los reporteros de ciberseguridad más veteranos que existen y durante años se ha especializado en seguir las rutas de navegación en línea que lo llevan a revelar la identidad de notorios ciberdelincuentes. En este caso, Krebs pudo encontrar la verdadera identidad detrás del nombre de usuario en línea de un hacker, Rey, que forma parte del notorio grupo de cibercrimen de adolescentes persistentes y avanzados que se hace llamar Scattered LAPSUS$ Hunters.
La búsqueda de Krebs tuvo tanto éxito que pudo hablar con una persona muy cercana al hacker (no arruinaremos todo el artículo aquí) y luego con el propio hacker, quien confesó sus crímenes y afirmó que estaba tratando de escapar de la vida cibercriminal.
El medio de comunicación independiente 404 Media ha logrado un periodismo de mayor impacto este año que la mayoría de los medios tradicionales con muchos más recursos. Una de sus mayores victorias fue exponer y cerrar efectivamente un sistema masivo de vigilancia de viajes aéreos aprovechado por agencias federales y que operaba a plena vista.
404 Media informó que un corredor de datos poco conocido creado por la industria aérea llamado Airlines Reporting Corporation estaba vendiendo acceso a cinco mil millones de boletos de avión e itinerarios de viaje, incluidos nombres y detalles financieros de estadounidenses comunes y corrientes, permitiendo a agencias gubernamentales como ICE, el Departamento de Estado y el IRS rastrear a personas sin una orden judicial.
ARC, propiedad de United, American, Delta, Southwest, JetBlue y otras aerolíneas, dijo que cerraría el programa de datos sin orden judicial luego de Informes de meses de 404 Media y una intensa presión por parte de los legisladores.
El asesinato del director ejecutivo de UnitedHealthcare, Brian Thompson, en diciembre de 2024 fue una de las historias más importantes del año. Luigi Mangione, el principal sospechoso del asesinato, fue arrestado poco después y acusado de usar una “pistola fantasma”, un arma de fuego impresa en 3D que no tenía números de serie y fue construida en privado sin una verificación de antecedentes; en realidad, un arma que el gobierno no tiene idea de que existe.
Cableado, usando su experiencia previa en informes sobre armamento impreso en 3Dbuscó probar qué tan fácil sería construir un arma impresa en 3D, mientras navega por el mosaico del panorama legal (y ético). El proceso de reportaje fue contado de manera exquisita y el video que acompaña la historia es excelente y escalofriante.
DOGE, o Departamento de Eficiencia Gubernamental, fue una de las historias más importantes del año, cuando la pandilla de lacayos de Elon Musk arrasó el gobierno federal, derribando protocolos de seguridad y burocracia, como parte de la apropiación masiva de datos de los ciudadanos. NPR tuvo algunos de los mejores reportajes de investigación que descubrieron el movimiento de resistencia de los trabajadores federales que intentaban evitar el robo de los datos más confidenciales del gobierno.
En una historia que detalla la divulgación oficial de un denunciante compartida con miembros del Congreso, un alto empleado de TI de la Junta Nacional de Relaciones Laborales dijo a los legisladores que mientras buscaba ayuda para investigar la actividad de DOGE, “encontró una carta impresa en un sobre pegado con cinta adhesiva a su puerta, que incluía lenguaje amenazador, información personal confidencial y fotografías aéreas de él paseando a su perro, según la carta de presentación adjunta a su divulgación oficial”.
Cualquier historia que comience con un periodista diciendo encontraron algo que les hizo “sentir ganas de cagarse en los pantalones”, sabes que será una lectura divertida. Gabriel Geiger encontró un conjunto de datos de una misteriosa empresa de vigilancia llamada First Wap, que contenía registros de miles de personas de todo el mundo cuyas ubicaciones telefónicas habían sido rastreadas.
El conjunto de datos, que abarca desde 2007 hasta 2015, permitió a Geiger identificar a docenas de personas de alto perfil cuyos teléfonos fueron rastreados, incluida una ex primera dama siria, el jefe de un contratista militar privado, un actor de Hollywood y un enemigo del Vaticano. Esta historia exploró el sombrío mundo de la vigilancia telefónica mediante la explotación del Sistema de Señalización No. 7, o SS7, un protocolo con un nombre oscuro que se sabe desde hace mucho tiempo que permite el seguimiento malicioso.
Los golpes han sido un problema durante años. Lo que empezó como una broma de mal gusto se ha convertido en una amenaza real, que ha resultado en al menos una muerte. Swatting es un tipo de engaño en el que alguien (a menudo un hacker) llama a los servicios de emergencia y engaña a las autoridades para que envíen un equipo SWAT armado a la casa del objetivo del engaño, a menudo pretendiendo ser el objetivo y pretendiendo que están a punto de cometer un delito violento.
En este artículo, Andy Greenberg de Wired puso rostro a los muchos personajes que forman parte de estas historias, como los operadores de llamadas que tienen que lidiar con este problema. Y también describió a un prolífico matamoscas, conocido como Torswats, que durante meses atormentó a los operadores y escuelas de todo el país con amenazas de violencia falsas, pero extremadamente creíbles, así como a un hacker que se encargó de localizar a Torswats.
