Es fin de año. Eso significa que es hora de celebrar las mejores historias de ciberseguridad que nunca antes hemos publicado. Desde 2023, TechCrunch ha estado repasando colectivamente los mejores artículos del año sobre ciberseguridad.
Incluso para aquellos que no están familiarizados con él, el concepto es sencillo. Actualmente hay decenas de periodistas que informan sobre ciberseguridad en inglés. Publicamos toneladas de artículos sobre ciberseguridad, privacidad y vigilancia cada semana. Y muchos de ellos son geniales, así que léelos. Estamos aquí para recomendarte los que más nos gustan. Así que tenga en cuenta que, después de todo, esta es una lista muy subjetiva e incompleta.
De todos modos, comencemos. —Lorenzo Franceschi-Bicchierai.
A veces hay una historia de piratas informáticos que parece que podría ser una película o un programa de televisión tan pronto como empiezas a leerla. Este es el caso de la historia muy personal de Shane Harris sobre su correspondencia de meses con un importante hacker iraní.
En 2016, un reportero de The Atlantic entró en contacto con alguien que afirmaba estar trabajando como hacker para la inteligencia iraní, donde estuvo involucrado en operaciones importantes, incluido el derribo de un dron estadounidense y el ahora infame ataque al gigante petrolero Saudi Aramco, en el que los piratas informáticos iraníes borraron las computadoras de la compañía. Harris se mostró comprensiblemente escéptico, pero mientras seguía hablando con el hacker, reveló su verdadero nombre y empezó a creerle. Cuando el hacker murió, Harris pudo reconstruir la historia real, que de alguna manera resultó ser menos creíble de lo que el hacker le había hecho creer.
Esta fascinante historia es también una excelente mirada entre bastidores a los desafíos que enfrentan los periodistas de ciberseguridad cuando tratan con fuentes que afirman tener una gran historia que compartir.
En enero, el gobierno británico emitió en secreto una orden judicial que exigía a Apple que construyera una puerta trasera que permitiría a la policía acceder a los datos de iCloud de los clientes en todo el mundo. Debido a la orden mundial de silencio, sólo nos enteramos de ello en primer lugar porque el Washington Post informó la noticia. Sería el primero de su tipo y, de tener éxito, sería una gran derrota para los gigantes tecnológicos, que han pasado la última década bloqueándose los datos de los propios usuarios para evitar verse obligados a proporcionárselos a los gobiernos.
Posteriormente, Apple dejó de ofrecer almacenamiento en la nube cifrado de extremo a extremo a los clientes del Reino Unido en respuesta a la demanda. Pero la noticia hizo que la orden secreta saliera a la luz pública, permitiendo tanto a Apple como a sus críticos examinar los poderes de vigilancia de Gran Bretaña de una manera que nunca se había probado en público. La historia desató meses de disputas diplomáticas entre Gran Bretaña y Estados Unidos, y Downing Street retiró la solicitud, para luego restablecerla unos meses después.
La historia era el tipo de acceso aéreo con el que sueñan algunos periodistas, pero el editor en jefe de The Atlantic fue agregado sin querer a un grupo de señales de altos funcionarios del gobierno de Estados Unidos que discutían planes de guerra desde sus teléfonos celulares, lo que le permitió informar sobre ello en tiempo real.
Leer una discusión sobre dónde debería arrojar bombas el ejército estadounidense y luego ver un informe de noticias sobre un misil cayendo al suelo en el otro lado del mundo confirmó lo que necesitaba saber: Jeffrey Goldberg estaba hablando con funcionarios reales de la administración Trump, como había sospechado, y que todo esto quedó registrado y se podía informar.
Y lo hizo, allanando el camino para una investigación de meses de duración sobre (y críticas a) las prácticas de seguridad operativa del gobierno en lo que se ha llamado el mayor error de seguridad operativa del gobierno en la historia. El desmoronamiento de la situación finalmente reveló fallas de seguridad, incluido el uso de copias clonadas de Signal, lo que comprometió aún más las comunicaciones aparentemente seguras del gobierno.
Brian Krebs es uno de los reporteros de ciberseguridad más experimentados y se ha especializado durante años en rastrear rutas de navegación en línea que conducen al descubrimiento de las identidades de notorios ciberdelincuentes. En este caso, Krebs pudo descubrir la identidad de Ray, el identificador en línea del hacker. Ray es parte de un grupo de ciberdelincuentes adolescentes notoriamente sofisticado y persistente conocido como Scattered LAPSUS$ Hunters.
La búsqueda de Krebs fue todo un éxito y pudo hablar con alguien muy cercano al hacker (no estropearé todo el artículo aquí). Luego pude hablar con el propio hacker, quien confesó sus crímenes y afirmó que estaba tratando de escapar de una vida de cibercrimen.
Como medio independiente, 404 Media ha utilizado muchos más recursos este año para lograr un periodismo más impactante que la mayoría de los principales medios de comunicación. Una de sus mayores victorias fue exponer y cerrar efectivamente un sistema masivo de vigilancia de viajes aéreos que fue intervenido telefónicamente y operado en la oscuridad por agencias federales.
404 Media informó que un corredor de datos poco conocido fundado por la industria aérea llamado Airline Reporting Corporation vende acceso a 5 mil millones de boletos aéreos e itinerarios que contienen los nombres y detalles financieros de estadounidenses comunes y corrientes, lo que permite a agencias gubernamentales como ICE, el Departamento de Estado y el IRS rastrear a personas sin una orden judicial.
ARC, que es propiedad de United Airlines, American Airlines, Delta Air Lines, Southwest Airlines, JetBlue Airways y otras, anunció que pondría fin a su programa de datos sin orden judicial después de meses de informes de 404 Media y una intensa presión de los legisladores.
El asesinato del director ejecutivo de UnitedHealthcare, Brian Thompson, en diciembre de 2024 fue una de las historias más importantes del año. El principal sospechoso del asesinato, Luigi Mangione, fue arrestado y acusado de utilizar una «pistola fantasma» poco después. Se trata de un arma impresa en 3D que no tiene número de serie, fue fabricada en secreto sin ninguna verificación de antecedentes y es prácticamente desconocida para el gobierno.
Basándose en experiencias pasadas en informes sobre armas impresas en 3D, Wired se propuso probar qué tan fácil sería fabricar un arma impresa en 3D mientras se navega por un panorama legal (y ético) mosaico. El proceso de reportaje está exquisitamente contado y el vídeo que sigue la historia es maravilloso y escalofriante.
DOGE (Departamento de Eficiencia Gubernamental) apareció en uno de los titulares más importantes del año, alegando que un grupo de secuaces de Elon Musk violaron el gobierno federal y superaron los protocolos de seguridad y la burocracia como parte de una exfiltración masiva de datos nacionales. NPR ha realizado algunos de los mejores informes de investigación que exponen la resistencia de los empleados federales que intentan detener el robo de los datos más confidenciales del gobierno.
En un artículo que detalla la divulgación oficial de un denunciante compartida con miembros del Congreso, un alto funcionario de TI de la Junta Nacional de Relaciones Laborales dijo a los legisladores que mientras buscaban ayuda para investigar las actividades de DOGE, «según la carta de presentación que acompañaba a la divulgación oficial, descubrimos una carta impresa dentro de un sobre pegado con cinta adhesiva a la puerta principal que contenía lenguaje amenazante, información personal confidencial y una fotografía aérea de alguien paseando a un perro».
Cualquier artículo que comience con un periodista diciendo: «Encontré algo que me hizo querer quitarme los pantalones», sabe que será una lectura divertida. Gabriel Geiger descubrió un conjunto de datos de una misteriosa empresa de vigilancia llamada First Wap. Contenía registros de miles de personas en todo el mundo cuyos teléfonos habían sido rastreados.
Este conjunto de datos, que abarca desde 2007 hasta 2015, permitió a Geiger identificar docenas de celebridades cuyos teléfonos habían sido rastreados, incluida una ex primera dama siria, el presidente de un contratista militar privado, un actor de Hollywood y un enemigo del Vaticano. En este artículo, exploramos el sombrío mundo de la vigilancia telefónica explotando el Sistema de Señalización No. 7 (SS7), un protocolo de nombre oscuro que se sabe desde hace mucho tiempo que permite el seguimiento malicioso.
Los golpes han sido un problema durante muchos años. Lo que empezó como una broma de mal gusto se ha convertido en una amenaza real, que ha provocado al menos una muerte. Swatting es un tipo de engaño en el que alguien (a menudo un hacker) llama a los servicios de emergencia y engaña a las autoridades para que envíen un equipo SWAT armado a la casa del objetivo del engaño. A menudo se hacen pasar por objetivos y fingen estar a punto de cometer un delito violento.
En este artículo, Andy Greenberg de Wired nos dio un vistazo a muchos de los personajes de la historia, incluidos los operadores de llamadas que deben lidiar con este problema. Y también presentó al prolífico matamoscas conocido como Towswatts, que atormentó a empresas y escuelas de todo el país durante meses con amenazas de violencia falsas (pero muy creíbles), y al hacker que se encargó de rastrear a Towswatts.
Source link
