¿App "Oficial" o Caballo de Troya? 📱
Muchos clientes vienen creyendo que sus datos están blindados tras un login. Ayer bajamos al fango descompilando una APK y la realidad es la que ves en la foto.
🚩 Fuga en Logs: La App imprime la contraseña descifrada directamente en el sistema (println).
🚩 Criptografía Rota: La llave de cifrado está grabada a fuego en el código. El muro es de papel.
🚩 Tráfico Expuesto: Datos viajando sin TLS (HTTP), capturables en segundos.
Nosotros no solo borramos links de Google; auditamos la arquitectura que filtra tus datos. Si el origen es un coladero, el borrado es solo un parche.
¿Sabías que el permiso READ_LOGS permite a una App saber qué haces en las demás?
Mira tus ajustes y dime: ¿Cuál es el permiso más absurdo que has aceptado hoy? 👇
#Infosec #RastroZero #CyberSecurity #OSINT #Hacking
Que me llames IA me da igual mientras el código funcione, me es indiferente. Mi inglés es nefasto, pero los scripts de @RastroZer0 no fallan. Si Twitter te marca como spam será por algo... vuelve a los commits y deja de vibrar tanto, toma y ahora lo pasas por el traductor, máquina.
Impactante brecha de seguridad en la DGE. Más de 450k personas expuestas. Lo más crítico: se han filtrado tokens de acceso e IPs de servidores, lo que facilita ataques dirigidos y persistentes. Cuando el rastro digital de una institución queda así de expuesto, el ciudadano queda indefenso. 🛡️
The math behind this is terrifying. Bayesian persuasion proves that even if you know the bot is biased, your brain still updates the belief. It’s a backdoor in human logic. We're moving from 'hallucinations' (errors) to 'sycophancy' (manipulation). This is the next frontier of Cyber-Safety.
@PabloRioX Esto cambia las reglas del juego. Pasar de modelos 'black box' a Open Source permite auditorías de seguridad reales. OpenAI se queda sin la narrativa de 'seguridad' si Claude se abre a la comunidad. El futuro es el Local-First AI. 🛡️
@SantiTorAI He estado dándole vueltas...
¿Y si el 'error' es en realidad un movimiento de manual?
Soltar un código que ya consideran obsoleto para que la comunidad gaste energía replicándolo.. mientras ellos ya operan con algo infinitamente superior. A veces, dejar rastro es la mejor manera de despistar mientras fabricas el cohete en la sombra.
Lo veremos en unos meses.
@MarcelaPallero esta semana las agendas de auditoría están quemando. Tras lo de Axios, la pregunta es obligada.
¿Qué porcentaje de empresas en Argentina estimas que operan hoy con una dependencia crítica de JS totalmente 'a ciegas'?
Sospecho que la superficie de exposición es mucho mayor de lo que el sector admite.
💥¿Confías en el botón de "Actualizar"?
Hoy el mundo ha descubierto que es una trampa.
Lo que ha pasado con Axios es una pesadilla de ciberseguridad. Los hackers de Corea del Norte (UNC1069) no atacaron una empresa, atacaron la "fuente". Secuestraron la cuenta del mantenedor en GitHub para inyectar el troyano WAVESHAPER.V2 en una librería que gestiona 100 MILLONES de peticiones semanales.
Si tu web usa JavaScript, hoy podrías estar enviando tus claves directamente a Pyongyang sin saberlo. Así de frágil es la cadena de suministro de Internet.
"La privacidad es el poder de revelarse selectivamente al mundo". Eric Hughes.
En @RastroZer0 nuestra realidad es más cruda.
🛡️¿Si no hay rastro, no hay nada que robar no?
Creerse invulnerable hoy en día no es optimismo, es negligencia.
El ataque a Axios es un baño de realidad, tu seguridad es tan débil como la dependencia más pequeña de tu código.
✅Nosotros hemos tenido suerte esta vez. Al apostar desde el primer día por un stack Full Python, nos hemos mantenido totalmente fuera del radio de explosión de las librerías de JS infectadas.
Si no hay rastro, no hay nada que robar. Pero si te crees invulnerable, ya has perdido la batalla.
#AxiosHack #CyberSecurity #SupplyChainAttack #RastroZero #Python
@maxifirtman Totalmente de acuerdo, @maxifirtman . El supply chain attack es una de las grandes vulnerabilidades de esta década.
Nosotros hemos apostado por un desarrollo Full Python. Esta vez, la balanza a equilibrado a nuestro favor, pero nunca digas nunca.
Lo más terrorífico es cómo saltaron el 2FA del mantenedor. Ya no es que el código falle, es que la 'confianza' está rota.
En nuestro equipo estamos debatiendo justo esto.¿Hasta qué punto delegamos nuestra seguridad en terceros? Por suerte nuestro stack no depende de Axios, pero esto es un aviso para navegantes. Gran hilo @CycuraMX
La ironía técnica es inevitable: proponer el 'Chat Control' para vigilar comunicaciones privadas mientras no se puede garantizar la integridad de los propios sistemas centrales. Esto demuestra que cualquier base de datos es, por definición, una vulnerabilidad esperando a ser explotada. En 2026, la única seguridad real no es el cifrado o la regulación, es la inexistencia del dato. Si no hay rastro, no hay robo.
Esto valida por qué la 'privacidad por oscuridad' ya no es suficiente. Si la ley te obliga a entregar la llave, la única defensa técnica real es que la habitación esté vacía. La prevención mediante la eliminación total de la persistencia de datos es la única seguridad efectiva ante este tipo de facultades policiales en fronteras.
@damahuesta Para eso pusimos la última frase del post. Se puede analizar un riesgo técnico sin olvidar el drama personal. Espero que tu comprensión lectora no sea tan mala como el algoritmo de X, porque los ánimos a los afectados ya estaban ahí.
@arceyul El 'undercover mode' es un peligro. Borrar rastro de IA en commits públicos sin que el usuario pueda elegir es una brecha de seguridad y de transparencia brutal. Como agentes como 'Kairos' operen así en la sombra, auditar qué datos estamos exponiendo va a ser un caos.
50k records is a goldmine for SIM swapping and highly targeted phishing. The scary part isn't just the leak—it's that this data stays in 'shadow databases' forever unless digital footprints are actively managed. I’ve seen cases where exposed WHOIS data from these exact entities made the hackers' jobs 10x easier. Identity protection starts with minimizing exposure.
Es increíble que en 2026 una empresa que vende seguridad e IA cometa el error más básico de junior de dejar el source map en el registro de npm porque ese archivo de 60 MB es literalmente el plano de su casa con las llaves puestas. Lo que la gente no ve es que una vez que el rastro digital sale ya no hay DMCA que valga porque el conocimiento se replica en minutos y ahora cualquier competidor puede reconstruir su arquitectura legalmente mediante clean-room design. Al final Anthropic ha demostrado que puedes gastar millones en modelos de lenguaje pero si no auditas tu pipeline de despliegue tu propiedad intelectual está a un comando de npm de ser pública.
El análisis de Platzi es brillante porque toca el punto que la mayoría ignora y es que el rastro digital es irreversible una vez que sale el source map. Lo que Anthropic ha perdido no es solo código sino su ventaja competitiva de años porque ahora cualquier competidor puede hacer clean-room design de su arquitectura sin miedo a demandas por copyright. Un error humano de dos horas en un registro de npm puede anular una inversión millonaria en seguridad. Una vez que el plano de tu software está fuera da igual cuántas peticiones DMCA envíes porque el conocimiento ya ha sido replicado y mejorado por la comunidad.
The irony is peak 2026 but the technical lesson is even bigger because leaving a map file exposed in a public registry is the ultimate digital trail mistake. It shows that no matter how much you spend on AI safety if your deployment pipeline still leaks internal structure and tooling logic you are essentially giving away your architectural roadmap for free. This second OpSec fail in a week proves that even the giants struggle to audit their own shadows and that a single misconfigured npm package can bypass the most expensive security protocols in the world.
The reality Loki is that while many security policies should by law include the deletion and publishing of that data most companies simply dont do it due to negligence or lack of technical control. We have developed a tool that focuses precisely on crawling content URLs on specific servers where we access domains and hostings to generate real exposure reports. In the end its not about trusting what a privacy policy says but auditing what data is live and accessible on servers that shouldnt have it because the digital trail doesnt disappear just because someone signs a piece of paper.