Luciano Lagger

1/2‼️🇦🇷 Banco Central de la República Argentina, IOMA, and GDEBA allegedly breached: credit scoring, affiliate records, and government PDF documents exposed A threat actor claims to have leaked data tied to Banco Central de la República Argentina (BCRA), Instituto de Obra Médico Asistencial de la Provincia de Buenos Aires (IOMA), and Gobierno de la Provincia de Buenos Aires (GDEBA). The actor alleges the exposed material includes credit scoring data, IOMA affiliate and patient records, address and identity-related fields, and hundreds of government PDF documents. ▸ Actor: Skull1172 ▸ Sector: Government / Healthcare / Financial Records ▸ Type: Database Leak ▸ Records: 32M+ BCRA records, 1M+ IOMA records, and 903+ PDFs ▸ Country: Argentina ▸ Date: 15/05/2026 Compromised data: ▪ BCRA-related credit scoring and financial screening records allegedly totaling more than 32M entries ▪ IOMA affiliate and patient records allegedly including identity, membership, contact, and health-plan related data ▪ GDEBA government document archives containing hundreds of PDF files ▪ Personal identifiers and tax-related fields allegedly including DNI and CUIT-type records ▪ Address, phone, email, birth date, and membership status fields linked to exposed sample records ▪ Administrative portal screenshots and document archive previews shared as proof of access Stop guessing what's redacted. Subscribers see everything → https://t.co/281Qjc6WSh

Más allá del "Exploit": Por qué el verdadero poder del Pentesting reside en un documento Markdown 1. El mito del hacker solitario frente a la realidad del consultor estratégico La cultura popular ha canonizado la imagen del hacker como una figura solitaria que, tras una ráfaga de tecleo frenético, exclama "estoy dentro" y da por terminada su misión. En el Pentesting profesional, esa escena es apenas el prólogo. El verdadero valor de un auditor de seguridad no reside en su capacidad de vulnerar un sistema, sino en su destreza para comunicar el riesgo de manera que el negocio pueda actuar. Descubrir una vulnerabilidad crítica es un esfuerzo estéril si el cliente no comprende su gravedad o si no recibe una guía clara para neutralizarla. Como expertos, nuestro trabajo no termina con el compromiso del sistema; concluye cuando el riesgo se traduce en una narrativa técnica y estratégica impecable. 2. Resiliencia operativa: El plan que nunca sobrevive al "primer contacto" Un ejercicio de seguridad es, por naturaleza, un territorio impredecible. A diferencia de otros servicios de TI, es imposible guionizar un Pentesting con exactitud quirúrgica porque el entorno real siempre desafía las hipótesis de las reuniones de preventa. "Ningún plan sobrevive al primer contacto con el enemigo". Esta máxima justifica por qué los formularios precargados y los informes automatizados son insuficientes. El auditor debe enfrentarse a comportamientos inesperados de los sistemas, y aquí es donde la toma de notas en tiempo real se convierte en una herramienta de transparencia y protección de responsabilidad (Liability Protection). Un registro detallado de cada comando y clic no solo garantiza que un hallazgo sea reproducible para su posterior remediación, sino que permite determinar con precisión si una caída del sistema fue causada por la prueba o por un factor externo ajeno al auditor. Documentar cada paso es la única defensa del consultor ante lo inesperado. 3. El entregable real: Una Hoja de Ruta Estratégica de Remediación Es un error conceptual frecuente creer que el cliente paga por el "hackeo". En la práctica, el informe es el único entregable que aporta valor comercial tangible y justifica la inversión. Mientras que el acto técnico de atacar es el medio, el propósito fundamental del servicio es entregar una Hoja de Ruta Estratégica de Remediación. Un informe que se limita a listar fallos sin recomendaciones claras es dinero desperdiciado para la empresa. El objetivo final es que la organización reciba un mapa que no solo señale las grietas, sino que proponga objetivos estratégicos para impedir que esas vulnerabilidades resurjan. El Pentesting, por tanto, se define menos como una exhibición de habilidades técnicas y más como una consultoría de alta dirección en gestión de riesgos. 4. El contexto lo es todo: Por qué un hospital no es un banco La gravedad de una vulnerabilidad no es una métrica universal; es una variable dependiente del contexto operativo y regulatorio del cliente. Una misma falla técnica exige respuestas estratégicas opuestas según el sector: Cliente A (Hospital): Aquí, la prioridad absoluta es la disponibilidad. Los dispositivos médicos críticos suelen operar sobre software obsoleto que no admite parches inmediatos sin riesgo de interrupción. En este escenario, la recomendación estratégica se inclina hacia el aislamiento en subredes lógicas para proteger la vida del paciente, cumpliendo con normativas como HIPAA. Cliente B (Banco): La prioridad es la integridad y el control de acceso. Bajo el estándar PCI, un parche de seguridad no es una sugerencia técnica, es un mandato regulatorio. Un servidor desactualizado es un punto de entrada inaceptable, y la falta de remediación inmediata puede acarrear sanciones catastróficas. 5. La anatomía de la captura de pantalla perfecta Una evidencia visual mal construida puede ofuscar el problema en lugar de aclararlo. Para que una captura de pantalla sea profesional y efectiva, debe cumplir con estos cinco criterios de precisión: Legibilidad inmediata: La imagen debe ser clara sin necesidad de zoom; si el lector debe esforzarse por ver, el flujo de comunicación se rompe. Contexto corporativo: Debe incluir la URL en la barra del navegador y logotipos de la empresa en el formulario afectado para vincular la falla directamente con la identidad del cliente. Enmarcado y enfoque: El impacto (como una ventana emergente de XSS) debe estar centrado. Evite información irrelevante que distraiga del hallazgo. Soporte textual complementario: La imagen nunca debe ser el único recurso; debe ser acompañada por párrafos que expliquen la causa raíz. Precisión en el pie de foto: El título o pie de foto debe tener un máximo de 8 a 10 palabras, limitándose a describir la imagen sin repetir el contexto ya explicado en el cuerpo del texto. 6. Obsidian y Markdown: Portabilidad y Continuidad Colaborativa La documentación moderna ha abandonado los editores propietarios en favor de la simplicidad y potencia de Markdown y herramientas como Obsidian. Esta transición no es una moda, sino una decisión estratégica basada en: Eliminación del "Vendor Lock-in": Al usar archivos de texto plano (.md), las notas son universales. No dependen de un software costoso o cerrado, permitiendo su apertura en cualquier sistema operativo (Linux, Windows, macOS). Continuidad Colaborativa: Esta portabilidad es vital para la resiliencia del equipo. Si un auditor debe abandonar el proyecto por enfermedad o imprevistos, cualquier otro miembro puede retomar el trabajo de inmediato, garantizando que el cliente reciba su informe sin retrasos. Eficiencia técnica: Markdown permite integrar bloques de código con resaltado de sintaxis y previsualización en vivo de imágenes, facilitando que las notas técnicas se conviertan casi instantáneamente en secciones de un informe final profesional. 7. Conclusión: Hacia una cultura de transparencia y remediación La excelencia en la documentación no es un proceso administrativo secundario; es el pilar que eleva la postura de seguridad de una organización. Un Pentesting bien documentado transforma una serie de ataques aislados en una lección estratégica de defensa. Al final del día, el auditor de seguridad debe actuar como un aliado estratégico: alguien que no solo señala dónde están las grietas, sino que entrega los planos para reconstruir el muro de forma más sólida y resiliente. En tu próxima evaluación, ¿preferirías encontrar diez fallos críticos o recibir un solo plan estratégico que impida que esos fallos vuelvan a existir?

Creado (de nuevo) el CENTRO NACIONAL DE CIBERSEGURIDAD🇦🇷 Depende de la Secretaría de Innovación, Ciencia y Tecnología de la Jefatura de Gabinete de Ministros. https://t.co/A7aXQn2PxN Suerte a todos los involucrados! Por favor que esta sea la vencida y haya políticas de Estado!🙏