La reciente operación dirigida por el FBI para expulsar a los piratas informáticos del gobierno ruso de los enrutadores buscaba derribar una campaña de ciberespionaje especialmente insidiosa y amenazadoramente contagiosa, dijo a CyberScoop el principal funcionario cibernético de la oficina, Brett Leatherman.

Los investigadores, junto con agencias gubernamentales estadounidenses y extranjeras, revelaron detalles de la campaña esta semana mediante la cual APT28, también conocido como Forest Blizzard o Fancy Bear, y atribuido a la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia, comprometió más de 18.000 enrutadores TP-Link y se infiltró en más de 200 organizaciones en todo el mundo.

El compromiso de los enrutadores utilizados en oficinas pequeñas y domésticas provocó la operación de eliminación, Operación Mascarada, que implicó enviar comandos a los enrutadores para restablecer la configuración del Sistema de nombres de dominio (DNS) para evitar que los piratas informáticos explotaran ese acceso.

«Lo que es único para mí en este caso es que cuando cambias la configuración de Internet en un enrutador como lo hicieron ellos, se propaga a todos los dispositivos de tu casa», dijo Leatherman, subdirector de la división cibernética del FBI. «Todos esos dispositivos ahora, una vez que están conectados a esa Wi-Fi, obtienen direcciones IP maliciosas a través de las cuales luego enrutan su tráfico, y esto le da al GRU ruso un tremendo acceso al contenido ofrecido a través de un enrutador».

«La dificultad de un ataque como éste es que es prácticamente invisible para los usuarios finales», afirmó. «Los actores no estaban implementando malware como vemos a menudo. Entonces, cuando piensas en la detección de puntos finales en tu computadora o algo así, no ven esa actividad porque no es necesario. Están usando las herramientas en el enrutador para capturar el tráfico de Internet y extenderlo por toda la casa, y las herramientas tradicionales que detectan esa actividad». [are] simplemente no está allí”.

La operación de interrupción está en línea con la estrategia cibernética que la administración Trump publicó el mes pasado, con su énfasis en atacar a los piratas informáticos maliciosos y proteger la infraestructura crítica, dijo Leatherman.

El FBI comprende su papel en la implementación de esa estrategia, dijo, y trabajó con la Oficina del Director Nacional Cibernético y otras agencias para desarrollarla. La Casa Blanca ha mantenido al público y colina del capitolio Sin embargo, no sabemos nada sobre la implementación de la estrategia.

«Tenemos un largo historial de aprovechar autoridades y capacidades únicas para contrarrestar a estos actores, imponer costos y, a través de las 56 oficinas de campo, defender realmente la infraestructura crítica», dijo Leatherman. «Eso es realmente parte de nuestro ADN. Y por eso queremos asegurarnos de continuar alineándolo de la manera más escalable y ágil que podamos, para alinearnos con las prioridades de la estrategia misma».

Leatherman rastreó cómo la Operación Mascarada, cuyo éxito atribuyó a las oficinas del FBI en Boston y a las asociaciones con el sector privado y gobiernos extranjeros, encaja en una serie de perturbaciones dirigidas a los piratas informáticos del gobierno ruso que se remontan a 2018.

Fue entonces cuando la oficina atacó la botnet VPNFilter al apoderarse de un dominio utilizado para comunicarse con enrutadores infectados. En 2022, el FBI se enfrentó a la botnet Cyclops Blink y, en 2024, la Operación Dying Ember fue tras otra red de robots.

«En el transcurso de esas cuatro operaciones, mientras el adversario continuó evolucionando en su oficio, nosotros también», dijo Leatherman. «Pasamos de simplemente bloquear dominios a tomar medidas que los bloquean en la puerta de estos enrutadores, les quitamos cualquier capacidad a esos enrutadores para que ya no pudieran recopilar información confidencial y luego les prohibimos volver a ingresar».

El Servicio de Inmigración y Control de Aduanas confirmó que está utilizando el software espía Paragon, lo que provocó indignación el jueves por parte de un trío de demócratas de la Cámara de Representantes.

En respuesta a una carta de los legisladores preguntando sobre el uso de Paragon, el director interino de ICE, Todd Lyons, escribió que había autorizado el uso de “herramientas tecnológicas de vanguardia” para ayudar a la división de Investigaciones de Seguridad Nacional a luchar contra el fentanilo, particularmente contra organizaciones que utilizan comunicaciones cifradas.

“Cualquier uso de la tecnología cumplirá con los requisitos constitucionales y se coordinará con la Oficina del Asesor Legal Principal de ICE”, escribió Lyons el miércoles, sin nombrar específicamente a Paragon. «Además, el uso de la tecnología se alineará y apoyará las iniciativas estratégicas del Grupo de Trabajo de Seguridad Nacional para identificar, desarticular y desmantelar organizaciones terroristas extranjeras, abordar la creciente epidemia de fentanilo y salvaguardar la seguridad nacional».

Pero los representantes demócratas Summer Lee de Pensilvania, Shontel Brown de Ohio y Yassamin Ansari de Arizona no quedaron satisfechos con la respuesta de ICE.

“Es indignante que [the Department of Homeland Security] e ICE están utilizando este software espía sin supervisión del Congreso y con una falta total de estándares de cumplimiento», dijeron en una declaración conjunta compartida con CyberScoop. «Dado el historial de la Administración Trump, el cumplimiento fingido de ICE con los estándares existentes no significa mucho; Necesitamos ver pruebas y evidencias de salvaguardias férreas.

“Por eso solicitamos tanta documentación, que no nos han proporcionado en absoluto”, continuaron. «Los demócratas de la Cámara de Representantes seguirán exigiendo más información y responsabilizando a ICE por sus abusos».

Lyons escribió que certificó el uso de la tecnología, que, según dijo, cumplía con una orden ejecutiva de 2023 emitida por el entonces presidente Joe Biden. Esa orden ejecutiva requiere la certificación de que el uso de software espía comercial no plantearía riesgos de seguridad nacional o de contrainteligencia, ni crearía riesgos significativos de uso indebido por parte de un gobierno extranjero.

En 2024, el contrato de ICE por valor de 2 millones de dólares con Paragon fue objeto de revisión por la Casa Blanca. Pero el año pasado, ICE levantó una orden de suspensión de trabajo.

ICE no respondió de inmediato a una solicitud de comentarios sobre la reacción de los demócratas. El uso de tecnología de vigilancia por parte de ICE ha preocupación dibujada de grupos de libertades civiles.

La tecnología Graphite de Paragon se ha encontrado en los teléfonos de periodistas y se sospecha que se utiliza en varios países. WhatsApp dijo el año pasado que había interrumpido una campaña que empleaba software espía contra sus usuarios.

Bloomberg reportado por primera vez sobre la carta de Lyons.

Un sheriff del condado de California y contendiente republicano para la carrera por la gobernación del estado confiscó 650.000 boletas físicas del condado de Riverside, diciendo que eran parte de una investigación sobre fraude electoral vinculado a guerras de redistribución de distritos.

Los funcionarios estatales y los expertos en seguridad electoral dicen que las acusaciones subyacentes son falsas y que las autoridades locales no tienen la autoridad para investigar o validar unilateralmente los resultados electorales.

El sheriff del condado de Riverside, Chad Bianco, dijo en una conferencia de prensa el viernes que tenía la intención de realizar un recuento manual de las papeletas, que estaban vinculadas a las elecciones de noviembre pasado, y “comparar ese resultado con el total de votos registrados”.

En un 6 de marzo cartael Fiscal General de California, Rob Bonta, ordenó a Bianco que pausara la investigación hasta que el estado pudiera revisar “las bases fácticas y legales” de la investigación y la incautación.

Con base en una revisión inicial de las órdenes y declaraciones juradas del caso, Bonta escribió que su “oficina tiene serias preocupaciones en cuanto a si existía causa probable para respaldar la emisión de las órdenes y si su oficina presentó al magistrado todas las pruebas disponibles según lo exige la ley”.

Si bien la carta de Bonta no describe el contenido subyacente de las órdenes de registro, señala una presentación pública realizada por un residente en una reunión del Registro de Votantes del Condado de Riverside el 10 de febrero que «aborda la supuesta discrepancia de votos que parece ser la base de su investigación».

En que reuniónun individuo que se identificó como “Errol” y llevaba una gorra de “Trump 2028” alegó que el consejo había participado en fraude electoral local, estatal y federal.

En varios momentos, el individuo dijo que confió en Google para obtener información sobre personas y empresas a las que acusaba de recibir pagos indebidos. En otro momento, afirmó que el auditor del condado de Riverside no revelaría el propósito detrás de miles de páginas de pagos del condado, antes de decir «no van a recibir los archivos, yo los guardé».

«Tenemos muchos problemas, muchachos. Han cometido un fraude grave aquí, desde siempre», alegó el individuo, añadiendo que esperaba que los miembros del consejo fueran encarcelados.

Bonta acusó a Bianco de “violar flagrantemente mis directivas” según la Constitución del Estado de California y amenazó con emprender acciones judiciales si procedía con la investigación y el recuento manual.

La ley de Bianco, que ocupa el tercer lugar en las primarias abiertas del estado para gobernador este mes, según un Encuesta de Emerson College – es la segunda incautación de boletas de este tipo que se lleva a cabo en este ciclo electoral, luego de la redada del FBI en el condado de Fulton, la oficina electoral de Georgia.

Gowri Ramachandran, director de elecciones y seguridad del Centro Brennan para la Justicia, dijo a CyberScoop que las elecciones supuestamente están siendo investigadas. no fue una carrera reñida. Además, como prácticamente cualquier otra elección, los candidatos o partidos tienen oportunidades de impugnar las irregularidades o los resultados, incluidos los recuentos automáticos o los recuentos pagados por los candidatos o las campañas, junto con los tribunales estatales que regularmente juzgan cuestiones sobre los resultados electorales.

«Es importante que la gente sepa que ninguno de esos procesos involucra a alguien que entra y toma las boletas al azar», dijo, y agregó: «Me preocupa qué podría hacer para interferir si esto sucede más cerca de una elección real».

Ramachandran dijo que al confiscar las papeletas físicas, a las que llamó “el estándar de oro” que utilizamos para determinar la verdad básica sobre la intención de los votantes, Bianco estaba alterando la cadena de custodia, que es uno de los procesos clave diseñados para dar a los votantes confianza en sus elecciones.

“Debería ser un listón muy alto, no simplemente: 'Sospecho, quiero hacer una expedición de pesca'”, dijo. “No es suficiente tener a alguien que no tiene experiencia en contar boletas o mantenerlas seguras. [to] simplemente entra y toma todas esas cosas”.

La sugerencia de Bonta de que Bianco no informó materialmente a los tribunales se hace eco de lo que alegaron los funcionarios del condado de Fulton en su propia demanda, que acusaron al FBI de presentar al juez una “narrativa flagrantemente engañosa” que omitía pruebas clave, socavando la base del gobierno para investigar las papeletas de 2020.

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».