--[ Anomalía #0]--

–[ Anomalía #0: ¡Hola mundo! ]–

  Anomalía es un informe periódico de inteligencia de amenazas con un enfoque menos corporativo y más alternativo. Buscamos reunir información relevante sobre amenazas digitales en América Latina, sin perder de vista la posibilidad de colaborar con organizaciones y personas del sur global y, cuando sea necesario, con el resto del mundo.

Al preparar esta primera edición confirmamos un problema conocido: buena parte de la información técnica y de inteligencia de amenazas circula en inglés y responde a prioridades ajenas a nuestra región. Ese desbalance no es solo lingüístico, también es geográfico, cultural y político. Este boletín busca reducir esa brecha y aportar contexto a la inteligencia que consumimos y producimos.

Anomalía funciona como un espacio de curaduría. No pretende cubrirlo todo ni competir con grandes feeds comerciales. Seleccionamos enlaces, herramientas, investigaciones y casos que nos parecen relevantes, y los leemos desde una perspectiva situada: derechos humanos, diversidad, activismo y trabajo técnico en sociedad civil. Los temas van desde inteligencia de amenazas y malware hasta stalkerware, filtraciones, vigilancia y prácticas de resistencia digital.

Aunque el enfoque es técnico, no dejamos el contexto por fuera. Vivimos un momento marcado por la normalización de la vigilancia, la guerra cultural y el peso creciente de lo “cyber” en las disputas de poder y en los conflictos actuales. Frente a esto, nos interesa compartir miradas informadas que se salgan del relato corporativo dominante. Como toda tecnología, el impacto de estas herramientas depende de cómo se diseñan, cómo se usan y desde dónde se interpretan.

Las fuentes de Anomalía incluyen feeds técnicos, plataformas de amenazas, foros, chats y otros espacios donde circula información útil para entender el ecosistema digital desde abajo. A medida que el boletín crezca, ajustaremos estas fuentes y criterios editoriales con base en la experiencia y la retroalimentación de quienes lo lean.

Para cerrar esta edición #0, agradecemos a las personas y organizaciones que han acompañado este proyecto desde el inicio. Anomalía busca ser un espacio abierto: comentarios, críticas y aportes son bienvenidos. La inteligencia de amenazas también se construye colectivamente.

Con cariño, El equipo de ZoqueLabs 💚

–[ Filtraciones y extorsión ]–

Colombia — datos bancarios publicados tras intento de extorsión

Atacantes afirman haber publicado información sensible de cerca de 1,5 millones de clientes bancarios colombianos luego de que tres instituciones financieras no accedieran a un intento de extorsión. Entre los datos expuestos hay videos completos de verificación de identidad, grabaciones íntegras de llamadas de call centers, documentos de identidad, credenciales en texto plano y registros detallados de transacciones. Un elemento poco común es la presencia de audios donde se recitan respuestas a preguntas de seguridad, lo que sugiere compromiso más allá de bases de datos. El material fue verificado parcialmente por el medio que recibió los correos de extorsión, mientras las entidades afectadas optaron por guardar silencio.

–[ Estado, vigilancia y spyware ]–

Colombia — el ministro de Justicia denuncia espionaje

En Colombia el ministro de Justicia, denunció públicamente que estaría siendo espiado digitalmente y asoció el caso a Pegasus, sin que al inicio se conocieran detalles técnicos completos. La denuncia ocurre en un país con antecedentes recientes de uso de herramientas de vigilancia avanzada contra actores políticos y sociales.

Días después, el Ministerio de Defensa descartó que se esté usando Pegasus y afirmó que ninguna entidad del sector lo utiliza, negando además que exista una operación de seguimiento desde esa cartera. La contradicción entre la denuncia y la respuesta oficial vuelve a poner presión sobre algo básico: protocolos claros de auditoría, trazabilidad y mecanismos transparentes para confirmar/descartar vigilancia digital desde capacidades estatales.

Spyware comercial — críticas a la narrativa de transparencia de NSO Group

Mientras intenta expandirse en el mercado estadounidense, NSO Group enfrenta cuestionamientos por la distancia entre su discurso de transparencia y los antecedentes de abuso documentados en distintos países. El debate gira menos en torno a fallas técnicas y más en torno a la ausencia de controles externos efectivos, un punto clave para organizaciones de derechos humanos que han seguido el impacto de estas herramientas sobre periodistas, defensores y oposición política.

–[ Hacktivismo ]–

Reino Unido — ataque al sitio de Free Speech Union

El sitio web de la Free Speech Union fue atacado y dejado fuera de servicio tras una acción atribuida a activistas trans, en el contexto de disputas políticas públicas sostenidas. El incidente habría incluido la posible exposición de información vinculada a donantes, recordando cómo el hackeo sigue siendo utilizado como herramienta de confrontación política, con efectos inmediatos sobre infraestructura, reputación y debate público.

–[ Inteligencia de amenazas ]–

Venezuela — incidente de rutas BGP

Un análisis técnico revisa una fuga de rutas BGP en Venezuela que generó especulación sobre espionaje o manipulación deliberada del tráfico. La evidencia apunta a errores de configuración y gestión operativa, un escenario frecuente pero poco visible fuera de círculos técnicos. El caso ilustra cómo eventos estructurales de internet pueden adquirir rápidamente una dimensión política en contextos de alta tensión.

Brasil — Astaroth se propaga vía WhatsApp

El troyano bancario Astaroth fue detectado nuevamente en Brasil utilizando WhatsApp como vector principal de propagación. La campaña se apoya en cadenas de mensajes entre contactos, aprovechando confianza preexistente y la alta penetración de la plataforma en la región. El patrón refuerza una constante en América Latina: el cruce entre malware financiero y mensajería cotidiana.

Blind Eagle — actividad sostenida en la región

Un reporte reciente describe campañas activas del grupo Blind Eagle dirigidas a organizaciones en América Latina. El grupo mantiene técnicas conocidas, combinadas con ajustes operativos menores, lo que le ha permitido sostener presencia a lo largo del tiempo sin recurrir a tácticas particularmente novedosas.

–[ Stalkerware ]–

Gbyte / SpyX — filtración masiva de servicios de espionaje

Una investigación documenta la exposición de gigabytes de datos pertenecientes a servicios de stalkerware operados por Gbyte, incluyendo SpyX, MSafely y SpyPhone. La filtración incluye cuentas de usuarios, metadatos de víctimas y credenciales en texto plano, además de evidencias de capacidades de espionaje remoto vía servicios en la nube. El caso vuelve a mostrar cómo este tipo de software combina intrusión técnica con una débil postura de seguridad operativa.

PC Tattletale — consecuencias legales para su fundador

El fundador de la empresa detrás del software de vigilancia PC Tattletale se declaró culpable de cargos relacionados con hacking y la comercialización de herramientas de monitoreo. El proceso judicial representa uno de los pocos casos donde el ecosistema de spyware comercial enfrenta consecuencias legales directas, más allá del debate reputacional.

Stalkerware en Android - protección desigual entre antivirus

Un informe conjunto de EFF y AV-Comparatives publicado en diciembre del 2025, evaluó qué tan bien distintas soluciones de seguridad en Android detectan apps de stalkerware, y el panorama sigue siendo desigual: algunos productos alertan y bloquean de forma consistente, pero otros se quedan muy cortos. En los resultados del test, Malwarebytes fue el único con 100% de detección, mientras que Google Play Protect apareció entre los más bajos desempeños (con 53%), algo que es bastante preocupante ya que viene activado por defecto en muchos dispositivos. Acá puedes leer el informe completo.

–[ Plataformas y seguridad ]–

Instagram — correos de restablecimiento enviados por error

Instagram informó que corrigió un fallo que permitía solicitar correos de restablecimiento de contraseña para algunas cuentas sin que existiera un compromiso directo de los sistemas. Aunque la plataforma indicó que los mensajes podían ignorarse, el episodio generó confusión entre las personas usuarias y muestra cómo fallos menores pueden ser aprovechados como insumo para campañas de ingeniería social.

Redmi Buds - falla en Bluetooth podría exponer datos de llamadas

Una publicación reporta una vulnerabilidad en varios modelos Redmi Buds (3 Pro a 6 Pro) que podría permitir a un atacante cercano (en rango Bluetooth) acceder a información de llamadas y también generar caídas/reinicios del firmware (DoS). El ataque estaría asociado al manejo de RFCOMM y no requeriría interacción compleja, lo que vuelve a poner sobre la mesa un problema recurrente: la superficie de ataque en accesorios Bluetooth (audífonos, wearables) suele estar subestimada, pese a su uso masivo.

–[ Caídas, bloqueos y censura ]–

Uganda - Apagón de internet como táctica electoral

Uganda ordenó un apagón nacional de internet dos días antes de sus elecciones generales, justificándolo como una medida para reducir riesgos de “desinformación” y “fraude electoral”. Organizaciones de derechos digitales advirtieron que estos cortes afectan la vida cotidiana, pero sobre todo debilitan la transparencia electoral al limitar la verificación de información y la documentación independiente de lo que ocurre en tiempo real. Este tipo de medidas son aisladas, en América Latina también hemos visto tácticas similares en momentos de alta tensión política, desde cortes/bloqueos de internet hasta apagones de energía que afectan la comunicación, la observación ciudadana y la circulación de evidencia.

Irán - Apagón de internet para ocultar violaciones en protestas

Amnistía Internacional alertó que las autoridades iraníes impusieron un apagón de internet en medio de protestas crecientes, señalando que la medida busca ocultar la magnitud de las violaciones de derechos humanos durante la represión (incluyendo uso excesivo de fuerza y detenciones). Además de limitar la comunicación cotidiana, el corte reduce la posibilidad de documentar evidencia, verificar información y activar mecanismos de alerta y acompañamiento. Justo como en el caso anterior (Uganda), estos apagones muestran que el control estatal de infraestructura digital no funciona solo como censura, sino como una forma de administrar la visibilidad del conflicto: menos conectividad implica menos registro ciudadano, menos trazabilidad y más dificultad para exigir rendición de cuentas.