--[ Anomalía #1]--

–[ Anomalía #1 ]–

  Hola 💚

Esta primera edición se viene con toda. Arrancamos con el lanzamiento de ZOLIM, el Observatorio Latinoaméricano de Infraestructura Maliciosa de Zoque.

ZOLIM es un espacio donde estamos empezando a mapear infraestructura de comando y control (C2) y tooling malicioso alojado en América Latina, para entender mejor cómo operan posibles campañas activas desde y hacia nuestra región.

Está pensado como un sistema observacional y longitudinal, por lo que no hace un escaneo activo ni monitoreo en tiempo real. Trabajamos con snapshots periódicos y comparables en el tiempo, construidos a partir de plataformas de inteligencia de internet, filtrados por región y cruzados contra firmas conocidas de tooling malicioso. Cada snapshot se publica como un artefacto reproducible, con reportes técnicos y datasets abiertos. Lo vemos como un lugar para mirar patrones, conexiones y movimientos de infraestructura en la región

En el snapshot de lanzamiento ya encontramos cosas interesantes: servidores de DcRat en Barranquilla (Colombia), instancias de Cobalt Strike en infraestructura asociada a servidores del gobierno venezolano, y a Sliver apareciendo de forma consistente como una de las herramientas más usadas.

Si entras a ZOLIM, abajo vas a encontrar una tabla con todas las IPs que hemos identificado desde el primer snapshot. Puedes buscar por país, IP, ISP, último escaneo y otros campos. Si ves algo que te llame la atención, por favor cuéntanos, nos interesa investigar entre todes.

Anomalía sigue siendo nuestro espacio de curaduría: acá compartimos filtraciones, spyware, campañas activas, vigilancia, stalkerware, caídas de infraestructura y otros movimientos del ecosistema digital, leídos desde una perspectiva situada en derechos humanos y del sur global.

Si quieres ir más a fondo en lo técnico, puedes revisar directamente el observatorio o consultar nuestro repositorio en GitHub, donde estamos publicando los snapshots y materiales asociados.

Con cariño, El equipo de ZoqueLabs 💚

Ahora sí, Anomalía :D

–[ Seguridad y privacidad ]–

Campaña de phishing vía Signal

Una investigación de netzpolitik.org documentó una campaña de phishing distribuida a través de Signal, donde atacantes se hacen pasar por “soporte” de la aplicación y alertan falsamente sobre intentos de acceso a la cuenta, para luego solicitar códigos de verificación y así intentar tomar control de las cuentas. Periodistas y personas de sociedad civil recibieron estos mensajes en diferentes partes del mundo incluido América Latina. Nuestra lectura (por ahora): esto no necesariamente indica un targeting político directo. Más bien refleja que periodistas, activistas y organizaciones son quienes más usan la app. Por si acaso, Signal nunca escribe por chat como “soporte” y la app siempre advierte cuando un perfil no está verificado.

Whatsapp activa modo reforzado

WhatsApp anunció una nueva configuración pensada para personas en contextos de mayor riesgo, que incluye bloqueo automático de archivos de contactos desconocidos, silenciamiento de llamadas no guardadas, control de invitaciones a grupos y reducción de previsualización de enlaces. También reportó cambios internos (incluyendo uso de Rust) para disminuir errores de memoria en el manejo de contenidos.

–[ Estado, vigilancia y operaciones de información]–

Bolivia - policía reporta actividad coordinada en redes durante protestas

Un informe policial en Bolivia citado por El Diario atribuye la amplificación de contenidos en contra del gobierno en redes sociales durante jornadas de protesta a actividad automatizada y publicación coordinada, incluyendo lo que las autoridades describen como “granjas de bots”, enmarcando parte de esa circulación como desinformación. El señalamiento proviene del análisis estatal: hasta ahora no hay una verificación técnica independiente pública que confirme el origen o intención de esa actividad.

Argentina - reforma al sistema de inteligencia

Organismos de derechos humanos y sectores de la sociedad civil expresaron preocupación por una reforma al sistema de inteligencia argentino (Decreto 941/2025), ya que amplía las facultades de la Secretaría de Inteligencia del Estado, habilitando tareas de ciberpatrullaje, mayor intercambio y centralización de datos personales entre agencias, y apoyo operativo con fuerzas de seguridad, sin controles externos claros ni debate legislativo previo. La reforma fue impugnada vía habeas corpus pero la Justicia federal rechazó la acción al considerar que no vulnera garantías constitucionales.

–[ Filtraciones ]–

Colombia - Información expuesta del Servicio Público de Empleo

Según reportó MuchoHacker, información privada de cerca de 14 millones de personas fue expuesta tras un acceso no autorizado a sistemas del Servicio Público de Empleo en Colombia, con samples publicados en foros de leaks. Al parecer el material incluye datos personales y registros asociados a procesos de intermediación laboral con entidades públicas.

Colombia - Fuga masiva de datos en Secretaría de Salud

MuchoHacker reporta una fuga de datos asociados a la Secretaría de Salud de Bogotá que dejó expuesta información privada de 64.826 personas, incluyendo 1.876 menores de edad, con registros que abarcan desde datos personales hasta antecedentes médicos. La evidencia compartida en redes y espacios técnicos sugiere que la información quedó accesible sin protección.

México — hackeo a sistemas de la UNAM

En un repunte de incidentes de ciberseguridad en México en las últimas semanas, varios organismos han visto accesos no autorizados y exposiciones de información sensible. La UNAM confirmó una intrusión en al menos cinco de sus sistemas, donde un actor no identificado habría accedido a cuentas de estudiante y personal, incluidos correos institucionales y credenciales (aunque no hay confirmación oficial sobre el uso de esa información).

México — Chronus anuncia filtraciones mientras el gobierno las descarta

El grupo Chronus afirmó haber accedido a sistemas de varias instituciones públicas mexicanas y filtrado datos personales, según SDP Noticias, mientras el gobierno federal primero negó una brecha y sostuvo que la información mostrada correspondía a registros antiguos. Días después, autoridades reconocieron accesos a sistemas “obsoletos” operados por contratistas y el uso de credenciales válidas, aunque insistieron en que eso no implica una vulneración directa de la infraestructura principal, según El Informador. El caso queda marcado por mensajes contradictorios: de “no hubo hackeo” a “sí hubo accesos”, sin claridad pública sobre el alcance real de los datos involucrados.

ShinyHunters afirma acceso a datos internos de apps de citas

El grupo ShinyHunters publicó que obtuvo documentos internos y millones de registros vinculados a Bumble y Match Group (incluyendo servicios como Hinge y OkCupid).. Varias de estas apps son altamente usadas en países latinoamericanos. Las empresas confirmaron incidentes relacionados con cuentas de contratistas comprometidas por phishing y señalaron que no tienen evidencia de acceso directo a contraseñas o mensajes privados. Investigadorxs revisaron muestras que incluyen datos de perfiles y documentación interna.

Filtración masiva de credenciales: ~149 millones de cuentas expuestas

Un reporte de ExpressVPN documenta la exposición de millones de credenciales asociadas a servicios como Gmail y Facebook, Instagram, TikTok, OnlyFans, Netflix, iCloud y otros, provenientes de una base de datos pública sin protección ni cifrado, la cual fue retirada tras el hallazgo. Todo indica que se trata de credenciales recolectadas por malware tipo infostealer instalado en dispositivos de personas.

–[ Amenazas ]–

Crawlers automatizados rastrean plugins de WordPress

GreyNoise documentó actividad de bots que recorren internet enumerando plugins de WordPress para detectar instalaciones expuestas y priorizar ataques contra sitios con configuraciones débiles o componentes desactualizados. Sabemos que WordPress lo usan muchas organizaciones y colectivas, así que dejamos también esta guía de la Fundación Karisma con buenas prácticas para asegurar sitios en WordPress.

Perú - Fraude financiero a través de una campaña de phishing

Group-IB documenta una campaña activa en Perú que se hace pasar por ofertas de “préstamos digitales” para recolectar datos de tarjetas bancarias y PIN. La operación utiliza anuncios dirigidos en redes sociales que redirigen a sitios falsos que imitan portales de entidades financieras, donde las víctimas ingresan información personal y financiera. El informe identifica al menos 16 dominios que suplantan a un banco local y más de 370 dominios vinculados a la infraestructura de la campaña, mostrando un flujo bastante limpio: captación vía publicidad, formularios fraudulentos y posterior monetización de credenciales. Un ejemplo claro de cómo el fraude financiero en la región combina phishing clásico con distribución pagada y rotación rápida de dominios. El informe también indica que este mismo patrón de fraude ya aparece replicado en otros países de la región.

–[ Análisis técnicos]–

Iran - Campaña vinculada a Irán apunta a ONGs de derechos humanos y activistas

Harfarlab presenta un análisis detallado de un vector de infección utilizado contra la sociedad civil en Irán, que emplea archivos .xlsm (Excel) con macros para instalar un implante en el computador de la persona afectada. Estos archivos se distribuyen como adjuntos en correos electrónicos, haciéndose pasar por listados de víctimas de las protestas de los últimos meses contra el régimen. Además del vector inicial, el informe analiza el implante en profundidad y muestra mecanismos particularmente interesantes de comunicación con los servidores de comando y control. Para ello, se apoyan en servicios como Telegram, GitHub y Google Drive, desde donde se coordinan comandos y configuraciones, en algunos casos mediante el uso de esteganografía y pequeños “huevos de pascua” dirigidos a investigadores. Muy recomendado.