Emilse Garzón, especialista en ciberseguridad, habló sobre el hackeo a Espert en Pasaron Cosas
Radio Con Vos - 20/3/2025 - Duracion: 15:36
Transcripción
00:00:01Son exigentes los del foro de YouTube,
00:00:03¿eh? Qué cosa bárbara. Emy Garzón,
00:00:06bienvenida. Buenas tardes. Buenas
00:00:07tardes. Muy bien por aquí. No veo que
00:00:10tienen sus notebooks. La mía tiene
00:00:12muchos stickers. Hay algunas que no. Voy
00:00:14a después traer la mía que tiene tenía
00:00:16libertad a Juliana Sanch y bueno, bien.
00:00:18Me parece bien para una especialista en
00:00:19ciberseguridad de ese sticker.
00:00:21Bienvenida a la familia Garzón. Muchas
00:00:23gracias. Un sticker protege la
00:00:25computadora también o solamente no
00:00:27tendría que necesitaría una una jaula
00:00:29fara de ahí, tal vez alguna cosita así.
00:00:31Bueno, ¿me explicas qué pasó ayer con
00:00:33Espert, por favor? Ayer creíamos que iba
00:00:36a ser otro 14 de febrero, día de los
00:00:38enamorados, y fue como, "No, por favor,
00:00:42otra vez no, de nuevo", decía. era como
00:00:46esperábamos que no fuera otra vez un
00:00:47libra dos y demás, pero no tenía tanta
00:00:49pinta de eso porque la historia fue
00:00:52medio un poco más básica. Sí, hay
00:00:55teorías conspirativas, había teorías
00:00:57conspirativas como si efectivamente se
00:00:59hubiera programado un tweet. Prob desde
00:01:01el principio. Ayer la noche, Expert
00:01:04desde su cuenta de Twitter publica algo
00:01:07parecido a lo que había publicado Javier
00:01:09Miley con Libra, pero este era un Libra
00:01:122 poniendo un link para hacer el proceso
00:01:14de adquisición de una Meme Coin. Si vos
00:01:16cliqueabas ahí, comprabas Libra 2. No,
00:01:18no tenías que hacer un un pequeño
00:01:20proceso. Ese era el smart contract para
00:01:22llegar a Ah, okay. Pero eh sí, la misma
00:01:25idea de fondear pymes y eso que también
00:01:28había sido con Libra y Javier Miley.
00:01:31Después al rato él dice y pide
00:01:35disculpas, dice, "Me hackearon la
00:01:36cuenta, eh, discúlpenme, no, yo no tengo
00:01:40nada que ver con esto." Y a continuación
00:01:43aparecen otros dos tweets con otras dos
00:01:46meme coins. Y ese era el ruido, porque
00:01:48era, "Che, si te hackearon la cuenta,
00:01:50¿cómo es que seguís promocionando otras
00:01:52dos meme coins?" Bueno, capaz alguien
00:01:54entró a su cuenta de Twitter en algún
00:01:56lugar, él también podía entrar desde su
00:01:59compu. Desde ahí pedía disculpas, pero
00:02:00los otros seguían emitiendo cosas.
00:02:02Claro, eso era lo que se suponía porque
00:02:04hasta el momento dudábamos de la idea de
00:02:05hackeo porque con el historial que
00:02:07habíamos tenido con Javier Miley, que al
00:02:08principio todos queríamos creer que era
00:02:10un hackeo, pero efectivamente no, fue
00:02:11una superfa. En este caso era, "Che,
00:02:14pero vos sos una un funcionario público,
00:02:15tenés equipo, ¿cómo puede ser que
00:02:17todavía no te pudiste desloguear
00:02:19completamente?" Entonces, la conclusión
00:02:21primera es, no hay equipos que sepan
00:02:23sobre seguridad informática. no pasó por
00:02:26un proceso de denuncia habitual en el
00:02:28que avisó a organismos específicos para
00:02:30que hagan investigación sobre este tipo
00:02:32de ciberataque. Y también lo que vimos
00:02:35es que Spert publicaba un video en el
00:02:38que decía que había sufrido un
00:02:40ciberataque, que é no estaba manejando
00:02:42sus cuentas y le ponía una conotación
00:02:44política. Decía, "No nos van a bajar a
00:02:46libertad de avanzar, no nos bajan. Esto
00:02:48lo hacen porque eh nos quieren ensuciar
00:02:50y demás, insulta."
00:02:51Y ese es un caso en el que se toma
00:02:54también un ciberataque con un fin
00:02:57político, ¿no?, para culpar a alguien. Y
00:02:58la realidad es que acá no tuvo ni que
00:03:00ver el guisnerismo ni ningún otro
00:03:02partido político. No sabemos quiénes
00:03:03fueron, pero son ciberatacantes que
00:03:05fueron a generar una estafa con
00:03:07criptomonedas. Y esto pasa, te diría,
00:03:10decenas de veces todos los días
00:03:12alrededor del mundo con cuentas de
00:03:13Instagram, de Twitter, de YouTube.
00:03:16Ahora, si van a hasta recién estaba a la
00:03:18cuenta de YouTube de Dilom. Ahí le
00:03:20tomaron la cuenta y están promocionando
00:03:23también cripto. ¿En serio? Sí, sí, ahora
00:03:25mismo está pasando. Entonces, esto
00:03:27sucede todo el tiempo. Eh, al presidente
00:03:29de Gana hace unos días también le pasó
00:03:31algo similar, 48 horas para recuperar la
00:03:34cuenta. Son cuentas que tienen el check
00:03:35gris, que son cuentas que responden a
00:03:38funcionarios públicos o organismos
00:03:41multilaterales que necesitan una
00:03:42validación adicional para poner ese
00:03:44check gris. Twitter te pide un mail
00:03:47especial, tu DNI, o sea, corroborar que
00:03:48realmente eso es alguien relevante para
00:03:50eso. Y no está pasando que eh Twitter
00:03:53tiene pocas medidas de seguridad, ¿no?
00:03:55Será un poco responsabilidad de la
00:03:56plataforma también. Claro. Bueno, sí, lo
00:03:59que pasó es que cuando Mask adquiere
00:04:01Twitter ex le quita un montón de de
00:04:06actividades que venían haciendo
00:04:07vinculadas con género, vinculadas con
00:04:08seguridad, vinculadas con el uso de
00:04:10inteligencia artificial y moderación.
00:04:12Ah, mira, la parte de ciberseguridad se
00:04:14achicó mucho, se achicó toda la la
00:04:16cantidad de personas porque despidieron,
00:04:18porque generaba costos adicionales. De
00:04:19hecho, ahora Elon Musk, si vos vas a ver
00:04:22a un sitio web que se llama
00:04:24layoff. Te dice cuánta gente está
00:04:26despidiendo ahora desde mismo del
00:04:28gobierno en Estados Unidos, pero al
00:04:30tener menos recursos importa mucho
00:04:32menos. De hecho, está lleno de ads, de
00:04:34publicidad en Twitter, de estafas de
00:04:37cripto y también para apostar. está
00:04:39lleno de eso y nadie los baja, pasa lo
00:04:41mismo en meta, porque ¿qué importa? El
00:04:43dinero, lo que quiere hacer es recaudar.
00:04:45Entonces, sí pasa habitualmente. Ahora,
00:04:47Espert, entonces, eh, lo que le pasó,
00:04:50¿qué qué fue exactamente? Es un
00:04:52ciberataque. Sí, pero para cómo se cómo
00:04:54se sustanció. Alguien le escribió.
00:04:57Bueno, ahí hay varias teorías. ¿Por qué?
00:04:58Porque son muy cerrados con el tema. Acá
00:05:00en Argentina tenemos un problema que
00:05:02frente a algún tipo de ciberataque no
00:05:04hay obligación de aviso, especialmente
00:05:06en las empresas. Por ejemplo, varias
00:05:08prepagas sufren ciberataques muy heavis,
00:05:12muy muy heavis, donde están, por
00:05:13ejemplo, bases de datos donde figuran
00:05:15las personas que tienen HIV y están
00:05:17circulando en la dark web y eso no tiene
00:05:20ningún tipo de obligación de avisar. En
00:05:22el caso de un funcionario o en este caso
00:05:24de Expert, no hay un lugar. CL qué
00:05:26fuerte eso que decís. O sea, eh las
00:05:28prepagas que tienen información de
00:05:30historia clínica recontra
00:05:32archiconfidencial, eh les roban esos
00:05:36datos y después lo venden en la internet
00:05:38profunda. ¿Sí queres que te diga cuáles
00:05:40son? ¿Cuál es la cuál es la que tiene la
00:05:41base de datos de Chive? Sí, Sancor
00:05:44Salud. Mira, Sancor Salud hace unas
00:05:46semanas, por eso estamos en una
00:05:48situación grave en Argentina y en
00:05:49Latinoamérica respecto a ciberseguridad.
00:05:51Esto nos enseña lo de que todos estamos
00:05:54en peligro, pero ¿qué pasa cuando estás
00:05:55en peligro? Porque una compañía maneja
00:05:57tus datos, no tiene la seguridad
00:05:59necesaria y en ese caso los atacantes
00:06:02para poder llevarse dinero de esa
00:06:04empresa te amenazan y entre esos te
00:06:06dicen, "Mira, tengo esta base de datos
00:06:07con quienes tienen HIV y es un sample
00:06:09que es un ejemplo de lo que te pueden
00:06:11llegar a demostrar." Pero además después
00:06:12pueden extorsionar al al paciente
00:06:14también decirle, "Che, aviso en tu
00:06:16laburo o a gente que no sepas." Swiss
00:06:19Medical también es otra que
00:06:20recientemente fue atacada. Qué zarpado.
00:06:22Y eso está lleno y lo me parece
00:06:24importante que lo destaques porque es
00:06:25peligroso porque después nos
00:06:26preguntamos, "Che, atacaron una
00:06:28universidad y a mí qué me importa" y
00:06:30después a la docente que trabaja ahí y
00:06:31tiene información de alumnos y demás lo
00:06:33extorsionan. Así que eso está pasando. Y
00:06:34en este caso con Expert e hay varias
00:06:37teorías. Una vez que fue un mail
00:06:39fishing, el fishing es ese que te llega
00:06:41un correo, hiciste click y eso hizo que
00:06:44vayas a entregar credenciales. Se hizo
00:06:46pasar por Twitter, por ejemplo. ¿Sabes
00:06:47que el otro día me pasó? Yo la recagué a
00:06:50pedos a mi vieja cuando por segunda vez
00:06:52la estafaron. Pobre Diana, le mando un
00:06:55beso. Pero eh una vez le vaciaron la
00:06:58cuenta, le sacaron un préstamo, todo, le
00:06:59hicieron todas las que te hacen cuando
00:07:01te hacen eso. Eh, y después de vuelta
00:07:05sufrió el hackeo del WhatsApp, eh, el
00:07:07típico hackeo de WhatsApp que ya uno,
00:07:09bueno, está un poco más pillo y no, en
00:07:12general, no da la clave nunca de
00:07:14WhatsApp a nadie que te la pida por
00:07:16afuera, ¿no? Eh, pero hace poco me llega
00:07:20un mail eh a la a la casilla, se lía
00:07:22Gmail, que decía eh ha transgredido las
00:07:25eh las reglas de comunitarias
00:07:27comunitarias de YouTube o de Twitter, no
00:07:30me acuerdo. Y yo digo, "Uh, qué
00:07:32porque subiste al video, no sé qué." Y
00:07:33cliqueo
00:07:35y ahí cuando cliqueo digo, "Ay, boludo,
00:07:37¿cómo voy a cliquear esto?" No pasó nada
00:07:39por suerte. o por lo menos por ahora no
00:07:40pasó nada, pero hay que estar todo el
00:07:43tiempo atento porque lo que te llega es
00:07:44algo que probablemente tenga sentido,
00:07:47¿no? Claro, de hecho es tan peligroso a
00:07:49veces que ha pasado, por ejemplo, con
00:07:51Mercadoolibbre que la gente compra y de
00:07:54algún lugar se filtra ese consumo, eso
00:07:57está automatizado. Entonces, vos
00:07:59compraste un televisor y a la media hora
00:08:01te dice, "Uy, no podemos entregar, haga
00:08:02clic acá." Y vos decís, "No, ¿cómo voy a
00:08:04desconfiar si yo efectivamente compré un
00:08:05televisor?" Claro. Entonces ahí es donde
00:08:07están todas las filtraciones y por eso
00:08:08es importante que la ley de datos
00:08:10personales se modifique, que se
00:08:12modifique la protección de nuestra
00:08:13información porque tiene más de 20 años
00:08:15y en todo ese tiempo aparecieron las
00:08:16redes sociales, internet cambió. Ahora,
00:08:18eh, ¿en qué puede haber caído, eh,
00:08:21Expert? ¿Qué le puede haber resultado?
00:08:22Sí, puede ser una, pero tiene ser algo
00:08:24así que él considerara probable que eh
00:08:27tuviera que cliquear posta. Esa sí, esa
00:08:30puede ser una. No sabemos quién maneja
00:08:32sus redes sociales. Yo, por lo menos no
00:08:33lo sé si hay un un ACM o un CM en
00:08:35paralelo que también pudo haber recibido
00:08:36ese mail y se pudo haber confundido. Lo
00:08:38otro que también pudo haber pasado es
00:08:39que adivinaron la contraseña. ¿Sabes
00:08:41cuánta gente todavía usa 1 2 3 cu? Su
00:08:44nombre y apellido. O sea, ese es muy
00:08:46básico, lo siguen usando. Yo tenía 6
00:08:48años, iba a comprar en mi familia y yo
00:08:50hackeaba las compus porque sabía que era
00:08:521 2 3 cu. Entonces tenía 6 años nada
00:08:54más. A los 6 años hackeabas las cosas.
00:08:56Sí. Después no lo hice más. No lo sé. Me
00:08:58encantaría. No, no me meto más en eso,
00:08:59modo periodista y trabajo con fuentes,
00:09:01pero sí es muy fácil hackear. Esa es
00:09:03otra. La otra que es muy sofisticada,
00:09:05que no la veo que que vaya por ese lado,
00:09:07es un Spyware, que efectivamente haya un
00:09:09programa detrás en el que haya eh
00:09:11ingresado a la compu de donde está
00:09:13logueada la cuenta o al celular. Sí, hay
00:09:16casos como eh Pegasus y algunos casos en
00:09:19el mundo donde se buscaban a políticos,
00:09:21a periodistas y demás, donde se le ponía
00:09:23un programita para mirar todos los
00:09:24movimientos del celular y de la
00:09:25computadora. No creo que sea eso. Es muy
00:09:28sofisticado. Eh, creemos que es más,
00:09:30digo, creemos porque consultando con
00:09:31varios especialistas que están
00:09:33reforzando seguridad, puede ser un
00:09:35fishing o esto, adivinar cuál fue la
00:09:37contraseña. ¿Por qué Expert en un
00:09:40momento sube una foto suya o un video,
00:09:43creo suyo eh, con un cartel que dice
00:09:46Argentina y diciendo en la hora y la
00:09:48fecha en inglés? Ah, tenemos el audio.
00:09:50Mira, compartémoslo antes de que
00:09:52responda Emy. Eh, espert lo que subió a
00:09:56su propia cuenta de Twitter es esto.
00:09:59Hola, me hackearon la cuenta de Twitter
00:10:02claramente con fines políticos. ¿Por qué
00:10:05no se van un poco a la Se creen
00:10:06que van a parar el avance de las ideas
00:10:09de la libertad, pero de ninguna manera
00:10:11van a parar esto. Es increíble. Él
00:10:13cancherea después de que lo con
00:10:14algo con claramente con fines políticos.
00:10:17Con un cazab. No, no, pero yo pensé que
00:10:19tenías el otro video, el el que él sube
00:10:22eh un cartel que dice Argentina y dice
00:10:25en un inglés con una pronunciación
00:10:28parecida parecida a la mía. Parecida a
00:10:29la mía. No criticamos eso. Bueno, okay.
00:10:32Eh, con una pronunciación discutible,
00:10:34dice, "Estoy totalmente en desacuerdo
00:10:37con vos. I am José Luis Sper from
00:10:39Argentina. Eh, y dice la hora, dice 2036
00:10:44o algo así. Eso, ¿qué es? está hablando
00:10:46de los inversores,
00:10:48¿no? Eso es como hay un problema KYC es
00:10:51algo un término que tienen que conocer
00:10:53oyentes y ustedes también, es know your
00:10:55client, conocer a tu cliente. El KC es
00:10:58lo que a vos te permite ingresar una
00:10:59plataforma y a veces te piden una foto
00:11:01que te muevas izquierda, derecha, que
00:11:03sonrías para que vean que no sos un
00:11:04robot y entonces puedas acceder una
00:11:06persona de verdad. Ahora, cuando pasa
00:11:09esto, que hay varios intentos donde te
00:11:11ciberatacan y varios intentos de entrar,
00:11:13salir y demás y hacer ruido, la
00:11:15plataforma, muchas plataformas te piden,
00:11:17bueno, vamos a corroborar que
00:11:18efectivamente vos sos vos. En su
00:11:20momento, en esta cuenta se le pidió al
00:11:22DNI para que sea para que tenga este
00:11:23check gris que diciendo que es
00:11:25funcionario, que en Twitter está liado
00:11:26con este check gris en particular.
00:11:28Entonces, le piden esto para que no sea
00:11:31el ciberatacante el que está pidiendo
00:11:33que que la cuenta vuelva a cero, sino
00:11:34que es verdaderamente el dueño. Y ahí te
00:11:37piden específicamente que escribas algo
00:11:39porque es una solicitud de la
00:11:40plataforma. ¿Por qué? Porque con
00:11:42inteligencia artificial se multiplicaron
00:11:44las formas de ataque. De hecho, toda
00:11:46esta parte de Libra 2, eh Vale y todas
00:11:49esas meme coins que estaban surgiendo
00:11:51del lado de Expert Comillas, era el
00:11:52ciberatacante haciendo este scam, esta
00:11:55estafa, el la forma en la que se armó
00:11:58fue usando bots también. Entonces, toda
00:12:00la parte de inteligencia artificial
00:12:01multiplica los errores y acá le pidieron
00:12:03a él una imagen para confirmar que no es
00:12:07inteligencia artificial, un deep fake y
00:12:08le piden ese dato. Una de las cosas que
00:12:11vi pasar en redes sospecha de que ese
00:12:15mismo video había sido generado por
00:12:18inteligencia artificial. Sí, sí.
00:12:19Especialmente el primero, el que
00:12:20escuchamos recién. No está creado con
00:12:22inteligencia artificial. Está estuviera
00:12:24muy bien hecho y la verdad es que no
00:12:25está hecho con inteligencia artificial,
00:12:27pero es importante eso. ¿Por qué tiene
00:12:28escrito? Porque la plataforma te dice,
00:12:30"Escribí en qué país y qué hora es."
00:12:33Entonces, una inteligencia artificial le
00:12:34costaría mucho automatizar esos difícil.
00:12:37Hoy no, no pasa. Y además le piden,
00:12:39evidentemente, que mueva la cámara, eh,
00:12:42o que mueva la cámara o a veces le piden
00:12:43que se mueva. De hecho, eyen, que es una
00:12:46plataforma para crear avatares, pueden
00:12:49agarrar mi foto y crear un avatar de mí.
00:12:51Lo que piden es que si yo soy una figura
00:12:53pública medianamente conocida, e tengas
00:12:57que dar tu consentimiento y decir algo,
00:12:59leer, "Soy a Emilegar Garzón" y empezar
00:13:01a explicar, "Sí, yo estoy pidiendo que
00:13:03hagan esto para poder cotejar y que no
00:13:05sea otra inteligencia artificial o
00:13:06alguien que se hace pasar por mí." Es
00:13:07completamente distópico lo que está
00:13:09contando de no sea eh eh estamos
00:13:11hablando de que hay que probar ser
00:13:12humano, ¿entendés? Bueno, viste que a
00:13:14veces tenés cuando entrás a algún tipo
00:13:16de clave o algún lugar que te te la
00:13:19duda, tenés esos cuadrículas que te
00:13:21dicen eh, motocicletas, entonces no soy
00:13:23un robot. No soy un robot. Pero claro,
00:13:26eso era cliquear. Ahora para ahora eso
00:13:28lo puede hacer un robot, entonces ya no
00:13:30sirve eh como prueba de que sos humano.
00:13:32Voy a tirar, claro, voy a tirar un dato
00:13:33que no está bueno, pero para que lo
00:13:34sepan también y por qué es importante
00:13:36hablar de estos temas y porque hay que
00:13:37legislarlo y porque quiere estar
00:13:39consciente. Los bancos tienen muchísimas
00:13:41normas de seguridad. Las empresas
00:13:43Fintech también, pero no es que tienen
00:13:45una forma de seguridad que vos decís,
00:13:46bueno, un 95% de
00:13:48asertividad, pasa apenas el 70%, o sea,
00:13:52hay entre un 30 y
00:13:5325% que está con errores. Es un número
00:13:56muy grande. De hecho, yo el otro día
00:13:58hice una prueba con aplicaciones de
00:14:00citas eh para ver para probar distintas,
00:14:02diferentes y puse una foto que creé con
00:14:05inteligencia artificial. Sí. Y pasó. O
00:14:09sea, yo puse la foto y pasó cinco
00:14:11aplicaciones. Bajé, las cuatro pasaron
00:14:13en una una imagen que yo creé con ella
00:14:15de una persona que no existe y en una
00:14:16sola de cristianos, de católicos. Está
00:14:18haciendo un experimento, ¿no? En esa en
00:14:20particular me pidieron que me mueva, que
00:14:22sonría, que diga algo. Todas las demás
00:14:23pasas como si nada. Y eso después
00:14:25explica por alguien se enamora de Brad
00:14:27Pitt, porque el estafador de Tinder,
00:14:29etcétera, etcétera. Es impresionante las
00:14:311000 maneras que tienen de timarnos. Eh,
00:14:33pero saben, a partir de ahora tenemos
00:14:35una aliada, Emy Garzón, eh, especialista
00:14:38en ciberseguridad, eh, que vino a
00:14:40explicarnos qué pasó con Expert. Eh,
00:14:42¿sabes si llegó a caer mucha gente en el
00:14:45curro de estos estafadores? No, hablando
00:14:47con Fermolina, que es un para mí uno de
00:14:48los que realmente más sabe del tema
00:14:50técnicamente, eh, no había sido de de
00:14:53gran impacto. Sí, algo importante es que
00:14:55en el mundo de las meme coins, que hoy
00:14:57ya se habla mucho, se habla mucho ahora
00:14:59en Argentina porque pasó lo de mi ley,
00:15:01pero si no la gente ya duda, pero ya se
00:15:03sabe que los que siempre están en este
00:15:05ámbito están en realmente la timba es,
00:15:07bueno, nos metemos rápido y salimos. Es
00:15:09una metodología. Ahora podría legislarse
00:15:11y decir, "No, tiene que ser ilegal en un
00:15:13país, podría ser un camino." Hay muchos
00:15:14países que ya lo han hecho, ¿no? Sí, se
00:15:16vive haciendo. Sí. Bueno, Emi, gracias
00:15:19por venir hoy y te vamos a seguir
00:15:21consultando porque me dejaste con más
00:15:22quicky que al principio, eh,
00:15:25francamente probaría si es robot o no.
00:15:28No, mira, es humana. No, está bien, está
00:15:29bien, está bien. Eh, me gusta Daft Tank,
00:15:32tengo corazón de robot. Gracias, Emy