Así operan los ciberdelincuentes: interceptan los mensajes de tu móvil por 14 euros al mes

Un hacker demuestra la vulnerabilidad en una plataforma de gestión de SMS masivos con la que consigue secuestrar los mensajes de texto que reciben números de terceros

Varias personas participan en un congreso de hackers en Alemania. EFE

Con menos de 14 euros y escasos conocimientos técnicos, un hacker acaba de demostrar que puede aprovechar un agujero de seguridad en una plataforma de marketing y de gestión de mensajes de textos masivos. El objetivo: interceptar todos los SMS que pueda recibir la víctima en su teléfono.

Los detalles los ha publicado Motherboard. El redactor del portal tecnológico ha autorizado a un hacker conocido como Lucky225 que le atacara para poder demostrar en este artículo cómo funciona esta gravísima y peligrosa brecha de seguridad.

Se trata de un agujero que estaba presente en Sakari, una plataforma que ayuda a agencias de marketing y empresas a enviar SMS masivos gracias a la tecnología de la nube. Con un sencillo exploit, los ciberdelincuentes podían registrarse en el servicio, contratar el plan más barato por 16 dólares (menos de 14 euros al mes) e introducir en su perfil el número de teléfono de la víctima.

“No esperaba que fuese tan rápido”, reconoce el autor del artículo en Motherboard. 

Cuando estaba en una videollamada con un compañero de redacción, empezó a recibir unos mensajes por WhatsApp con pantallazos de su cuenta en una app de citas y en una app de reparto de comida a domicilio. Era el hacker con el que había empezado a colaborar para demostrar que esta vulnerabilidad funciona.

Fue en cuestión de minutos, por lo que se descarta que el hacker utilizara técnicas más convencionales como el SIM swapping, un fraude informático en el que los atacantes primero recopilan información personal de sus víctimas mediante formularios fraudulentos enviados con phishing —haciéndose pasar por un proveedor bancario, por ejemplo—. Después, el hacker se pone en contacto con la operadora y haciendo ingeniería social, convence a los trabajadores de atención al cliente de que dupliquen la SIM de la víctima a un nuevo número.

José Pino, hacker colombiano experto en ciberseguridad, revisa algunos códigos en su computador portátil. EFE
José Pino, hacker colombiano experto en ciberseguridad, revisa algunos códigos en su computador portátil. EFE

Cuando una persona sufre un ataque de SIM swapping, lo primero que aprecia es que ha perdido conectividad y cobertura en su terminal: su tarjeta SIM está funcionando en otro terminal. Para cuando se ha querido dar cuenta, la víctima ya está siendo hackeada en diversas plataformas. Con el acceso a la bandeja de entrada de SMS, los ciberdelincuentes pueden acceder a los códigos de autenticación que todas las plataformas envían al iniciar sesión en, por ejemplo, el banco.

De este modo, muchas personas ven atónitas cómo los criminales vacían sus cuentas bancarias en cuestión de minutos.

Pero la brecha que ha descubierto Motherboardes mucho más grave, porque es igual de eficaz y además mucho más eficiente: solo requiere registrarse en la plataforma antes descrita, Sakari, aprovechando esa vulnerabilidad.

Lo cierto es que se desconoce si esta vulnerabilidad ya se estaba explotando sin que nadie la hubiese detectado. Teli Tuketu es el CEO de Okey Systems, una compañía especializada en proveer de herramientas para garantizar ciberseguridad y que sus clientes no sufran suplantaciones de identidad en la red. El hacker, Lucky225, trabaja en esta marca. Tuketu es tajante: esta brecha ya se estaba explotando.

Aunque Motherboard también consulta a otros especialistas, que revelan la gravedad del asunto. Karsten Nohl, investigadora en Security Research Labs, detalla al medio que “nunca había visto” un ataque semejante. Eva Galperin, directora de ciberseguridad en la organización de activistas Fronteras Electrónicas, defiende que este incidente “remarca la necesidad de que la gente abandone ya los servicios de SMS de confirmación y todos los inicios de sesión vinculados a un número de teléfono”.

El redactor insiste: cuando el hacker se registró en Sakari, tuvo que firmar unos términos y condiciones en los que se advertía que los usuarios no cometerían ilícitos ni comportamientos inadecuados con la plataforma de SMS. Pero Lucky225 ha demostrado cómo un usuario puede pinchar en la casilla de “aceptar” y empezar a recibir SMS secuestrados.

Una compañía similar a Takari, Text My Main Number, confirma a Motherboard que ellos han detectado actividad sospechosa también en su plataforma con una cuenta “que suspendimos inmediatamente y denunciamos”.

Noticia original: Business Insider

Autor: Alberto R. Aguiar