En 2018, mi ex colega de VICE Placa base Joseph Cox y yo comenzamos a publicar una lista de las mejores historias de ciberseguridad que se publicaron en otros lugares. No era sólo una manera de quitarnos el sombrero ante nuestros amigos competidores; al señalar las historias de otras publicaciones, estábamos brindando a nuestros lectores una imagen más completa de lo que había sucedido en el mundo de la ciberseguridad, la privacidad y la vigilancia en el año que acababa de terminar.
Nuestra inspiración original fue la Lista de celos de Bloomberg Businessweek, un compendio continuo de las mejores historias publicadas en otros medios seleccionadas por reporteros y editores de Bloomberg.
Ahora que tanto Cox como yo dejamos la placa base, en TechCrunch estamos retomando la lista de celos cibernéticos para enumerar una vez más las mejores historias de ciberseguridad del año, y aquellas de las que estábamos más celosos. — Lorenzo Franceschi-Bicchierai.
Si estuvo en Internet en octubre de 2016 y vivió en la costa este de EE. UU., probablemente recuerde ese día en que los principales sitios web como Twitter, Spotify, Netflix, PayPal, Slack y cientos más dejaron de funcionar durante un par de horas. Al final resultó que, ese fue el trabajo de tres jóvenes piratas informáticos emprendedores, que habían creado una de las herramientas distribuidas de denegación de servicio más efectivas jamás creadas.
En este extenso artículo, Andy Greenberg perfila a los tres jóvenes hackers y cuenta la historia no contada de sus vidas, desde adolescentes nerds informáticos hasta consumados ciberdelincuentes y, al final, hasta profesionales reformados de la ciberseguridad. Siéntate en una silla cómoda y sumérgete en esta lectura obligada.
En septiembre, una alianza impía de ciberdelincuentes rusos y adolescentes occidentales con excepcionales habilidades de ingeniería social supuestamente hackeó y derribó los casinos de MGM en Las Vegas, causando una perturbación generalizada. Este fue uno de los ciberataques más comentados del año y varias publicaciones se mantuvieron en la historia. Jason Koebler, ex editor en jefe de VICE Motherboard y ahora uno de los cofundadores del medio de comunicación 404 Media, propiedad de los trabajadores, tuvo la inteligente idea de volar a Las Vegas y ver el caos con sus propios ojos. El resultado de su viaje fue una pieza que mostraba cuán grave fue el golpe para MGM, lo que resultó en una “pesadilla” para los trabajadores de los casinos, como dijo Koebler.
La corresponsal de ciberseguridad de NPR, Jenna McLaughlin, informó desde Kiev y documentó una serie de excelentes noticias e historias en audio sobre la vida en Ucrania en tiempos de guerra, escritas por quienes defendieron el país después de la invasión rusa. La guerra cibernética ha desempeñado un papel importante en la guerra, y los ciberataques afectaron al sector energético de Ucrania y sus operaciones militares. Los despachos de McLaughlin abarcaron reuniones con los principales ciberdefensores e informes sobre las operaciones defensivas (y ofensivas) de Ucrania contra sus agresores rusos, combinados con aspectos destacados de la vida cotidiana normal de Ucrania, incluido el fútbol, por supuesto.
En un sorprendente cambio radical, el fabricante de productos electrónicos Anker admitió que sus cámaras supuestamente siempre encriptadas no siempre lo estaban. En resumen, un investigador de seguridad encontró un error que mostraba que era posible acceder a transmisiones no cifradas de vídeos de clientes, a pesar de las afirmaciones de Anker de que sus cámaras Eufy estaban cifradas de extremo a extremo. The Verge verificó y reprodujo los hallazgos del investigador de seguridad y Anker finalmente admitió que sus cámaras no estaban cifradas de extremo a extremo como afirmaba y, de hecho, habían producido transmisiones no cifradas. Me quito el sombrero ante The Verge por sus impresionantes y tenaces informes que llegan al fondo de las tergiversaciones de Anker y su fallido intento de encubrirlas.
En 2020, piratas informáticos del gobierno ruso introdujeron código malicioso en la cadena de suministro de software fabricado por SolarWinds, una empresa de tecnología cuyos clientes van desde corporaciones gigantes hasta agencias del gobierno federal. El hack fue sigiloso e increíblemente efectivo, dando a los rusos la oportunidad de robar secretos de su país rival. Reportero veterano de ciberseguridad Kim Zetter Habló con las personas que ayudaron a investigar el incidente y reconstruyeron el ataque sigiloso casi paso a paso en una investigación increíblemente detallada y profunda. Zetter también publicó una práctica y completa cronología de eventos en su Substack, a la que vale la pena suscribirse si aún no lo ha hecho.
Durante años, muy pocas personas conocían la existencia de una empresa india llamada Appin. Pero gracias a una investigación basada en “entrevistas con cientos de personas, miles de documentos e investigaciones de varias empresas de ciberseguridad”, como dijo Reuters, su equipo de periodistas informó y publicó pruebas que muestran a Appin como una operación de piratería informática. que ayudó a obtener información sobre ejecutivos, políticos, oficiales militares y personas ricas de todo el mundo. Esta es una de las miradas más detalladas y exhaustivas al oscuro mundo de las empresas de piratería por encargo, que no trabajan para gobiernos como Hacking Team o NSO Group, sino para clientes privados adinerados. La historia en sí llegó a los titulares cuando Reuters se vio obligada a eliminarla para cumplir con una orden judicial de Nueva Delhi. Reuters dijo en una nota del editor que respalda el informe.
Trickbot es uno de los sindicatos rusos de cibercrimen más activos y dañinos y ha afectado a miles de empresas, hospitales y gobiernos en los últimos años. En esta investigación, basada en entrevistas con expertos en ciberseguridad, así como en un análisis de una gran cantidad de datos de la banda de ransomware que se filtró en línea, Matt Burgess y Lily Hay Newman de WIRED desenmascaran a una de las «personas clave» de Trickbot. Los periodistas lo identifican como un hombre ruso que dice ser «jodidamente adicto» a Metallica y que le gusta la película clásica «Hackers». Una semana después de que los periodistas publicaran, los gobiernos de EE. UU. y el Reino Unido anunciaron sanciones contra 11 personas por su presunta participación en Trickbot, incluido el hombre identificado en la historia original de WIRED.
«Me sorprendió la facilidad con la que alguien podía robar mi teléfono», escribió Business Insider. Avery Hartmans, cuyo número de teléfono fue secuestrado por alguien que engañó a su proveedor, Verizon, haciéndole creer que eran ella. Nuestros números de teléfono están conectados a nuestras cuentas bancarias, restablecimientos de contraseñas y más, por lo que el intercambio de SIM puede resultar en un acceso terriblemente dañino a la vida de una persona. En este caso, al explotar este único punto de falla, el pirata informático pudo acumular miles de dólares en compras fraudulentas en nombre de Hartmans. El impresionantemente detallado relato de primera mano de Hartmans sobre cómo localizar a su intercambiador de SIM con determinación inquebrantable (con ayuda en el camino) fue una manera increíble de crear conciencia sobre este tipo de trucos de intercambio de SIM dirigidos y, no menos importante, de mostrar cuán inútiles pueden ser la mayoría de las empresas. ser para ayudar.
Los datos que contienen cerca de un año de solicitudes de reconocimiento facial obtenidos por el reportero de Politico Alfred Ng muestran que en el año posterior a que la policía de Nueva Orleans comenzó a usar el reconocimiento facial, la práctica no logró identificar a los sospechosos la mayor parte del tiempo y se usó casi exclusivamente contra personas negras. . El uso del reconocimiento facial por parte de la policía, las fuerzas del orden y las agencias gubernamentales sigue siendo una práctica muy controvertida en todo Estados Unidos. Si bien los críticos dicen que el reconocimiento facial es profundamente defectuoso a nivel técnico porque casi siempre se entrena en rostros blancos, el informe de Ng confirma lo que los defensores de los derechos civiles también han argumentado durante años: que el reconocimiento facial amplifica los prejuicios humanos de las autoridades que utilizan esta tecnología. O, en palabras de un miembro del consejo de Nueva Orleans que votó en contra del reconocimiento facial, que el uso del reconocimiento facial en Nueva Orleans es “totalmente ineficaz y obviamente racista”.
Justo cuando el año pasado llegó a su fin, el administrador de contraseñas LastPass confirmó que los ciberdelincuentes robaron las bóvedas de contraseñas cifradas de sus clientes que almacenaban las contraseñas de sus clientes y otros secretos durante una violación de datos anterior. El impacto total de este robo permaneció desconocido hasta septiembre de 2023, cuando el reportero de ciberseguridad Brian Krebs informó que varios investigadores habían identificado un “conjunto de pistas altamente confiables” que aparentemente conectaban a más de 150 víctimas de robos de criptomonedas vinculados a bóvedas de contraseñas robadas de LastPass. Según los extensos informes de Krebs, hasta el momento se han robado más de 35 millones de dólares en criptomonedas. Una de las víctimas, que había estado usando LastPass durante más de una década, le dijo a Krebs que les robaron aproximadamente 3,4 millones de dólares en diferentes criptomonedas.