SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

30 mar 2025

Segu-Info » , , , » Hackean un proveedor de SMS y lo utilizan para robar cuentas de Telegram y otros 50 servicios (cómo prevenirlo)

Hackean un proveedor de SMS y lo utilizan para robar cuentas de Telegram y otros 50 servicios (cómo prevenirlo)

30 mar 2025, 2:52:00 p.m.   Comenta primero!
  , , ,  

Un proveedor Varios proveedores de mensajes de texto (SMS) que operan (al menos) en Argentina, Chile y Uruguay, fueron hackeado y, desde febrero analistas de seguridad empezaron a detectar robos de cuentas personales a partir del uso de SMS inseguros, el método que lamentablemente siguen utilizando miles de empresas en el mundo.

La empresa Sondeos Global, un "gateway" que envía SMS para seguir envíos, resetear contraseñas o enviar notificaciones publicó un documento interno enviado a sus clientes, donde reconocen un ingreso no autorizado a sus servidores el 24 de marzo (aunque se sabe que el ataque se inicio antes) y aseguran que atacantes "accedieron a capturar tráfico de SMS en tiempo real, con alrededor de 30 mil datos capturados". Sondeos Global realizó una denuncia sobre el hackeo en la Unidad Fiscal Especializada en Ciberdelincuencia.

Actualización 11/04: el problema y la vulnerabilidad siguen vigentes y siguen apareciendo cuentas "robadas" de Telegram a través de otros proveedores de SMS de América Latina.

¿Buscas recomendaciones de prevención y solución?... Sigue leyendo.

Internamente, desde Segu-Info, hemos podido confirmar que los primeros casos reportados a Sondeos Global (incluso por empresas locales), provienen de las primeras semanas de enero.

Fuente: Pablo Sabbatella (@PabloSabbatella)

"El hackeo afectó a clientes de Argentina y Uruguay, con tráfico de múltiples clientes con contenido del tipo OTP, marketing, gaming y otros", agrega el reporte. OTP es un tipo de clave que se usa una sola vez (One Time Password), como segundo factor, para entrar a una cuenta una vez que se introduce la contraseña. Los SMS funcionan como vehículo de estos OTP.

Estos mensajes se utilizan como método para notificar usuarios: desde un delivery hasta el envío de códigos para entrar a Gmail o Instagram. La vulnerabilidad de este sistema permite a los estafadores tomar control de otras cuentas para realizar estafas.

"Desde febrero empezamos a detectar una serie de robos de cuentas por parte de distintos atacantes que estaban interceptando estos códigos de seguridad que llegan por mensaje de texto, de empresas como Mercado Libre, Google, Facebook, Instagram y Apple", dijo Pablo Sabbatella, especialista en seguridad cripto de Opsek.

"Empezamos a investigar el tema junto con Opsek, The Red Guild y SEAL y llegamos a la conclusión de que los hackeos no se debían a los dispositivos de los usuarios sino al gateway encargado de enviar los SMS de autenticación en Argentina: había un proveedor comprometido. Lo reportamos el miércoles 26 y el viernes 28 de marzo las empresas afectadas informaron que habían detectado la filtración y asegurado sus sistemas", agregó.

Cabe destacar que estos incidentes no requieren la interacción de las víctimas e incluso afectaron a personas que utilizaban las mejores prácticas básicas de seguridad operativa (OpSec).

Clarín pudo corroborar que los principales proveedores de telecomunicaciones de Argentina conocen el caso y están alerta para impedir que los atacantes continúen explotando este acceso no autorizado al envío de SMS. 

Qué es un gateway y cómo fue vulnerado en el ataque

El gateway es un servicio que diferentes proveedores usan para enviar SMS: a ese rubro se dedica Sondeos Global, la empresa afectada.

Los mensajes de texto todavía se utilizan como segundo factor de autenticación y método de reseteo de contraseñas. Cuando un usuario quiere entrar a una plataforma, sea de Google, Apple o Mercado Libre, el proceso de autenticación suele exigir un segundo factor. Esto es por motivos de seguridad: si un atacante sabe nuestra contraseña, no es suficiente para robarnos la cuenta (account takeover, como se conoce a esta práctica).

"Un SMS gateway ofrece la posibilidad de gestionar envíos de SMS por parte de las empresas que requieran este servicio de mensajería hacia sus clientes. El proveedor del SMS gateway se encarga del envío hacia los operadores de telefonía móvil. Es decir, es un intermediario entre la empresa que quiere comunicar (Google, por ejemplo) y el cliente de la compañía que debe recibir el mensaje", explicó a Clarín Ileana Barrionuevo, especialista en seguridad informática.

"El envío de SMS se usa en estos casos para recuperar o restablecer contraseñas en las plataformas, en donde el cliente recibe el mensaje de texto que posee un código (OTP) para ser utilizado como un doble factor o código de verificación, o bien recibe una contraseña temporal; también para inicios de sesión rápidos", agrega.

En este caso, la empresa explicó en su reporte interno que los atacantes lograron comprometer el servidor SMPP. "Es un protocolo que establece las reglas de intercambio de SMS: por un lado está el cliente, que puede ser una aplicación; por el otro, el servidor, que corresponde al operador móvil, la empresa que da internet. Si un atacante vulnera el SMPP, puede conseguir acceso a todo el detalle de lo que ocurre en esa comunicación", advierte Barrionuevo.

Investigación técnica

Gracias a un investigación llevada adelante por Pablo Sabbatella y un grupo de investigadores, se pudo conocer cómo el robo de algunas cuentas de Telegram terminó desenmascarando el hackeo de una gran parte de los SMS enviados por las principales tecnológicas del mundo (Apple, Binance, Google, Microsoft, Whatsapp, Instagram, Facebook, Paypal, Mercadolibre, Telegram, Mi Argentina y más) a sus clientes en Argentina, Uruguay y Chile.

NOTA: Pablo publicó la historia como se dio todo y agradece @theredguild y su metodologia de trabajo super ordenada, @_SEAL_Org que ayudó a coordinar las comunicaciones, "Kentucky" que, de forma anónima, coordinó la comunicación con otros profesionales. También destaca al periodista Juan Brodersen (aka @juanbrodersen), del diario Clarín, con quien coordinaron publicar todo de forma responsable y cuando fuera seguro hacerlo.

A principios de febrero empezaron a recibir los primeros reportes de usuarios argentinos a los que les habían hackeado o intentado hackear su cuenta de Telegram, interceptando los códigos de autorización que Telegram envía por SMS y a través de la aplicación. Si nunca habían instalado Telegram o no tenían el 2FA, los hackeaban.

La segunda semana de marzo estos casos se intensificaron y empezaron a ser masivos. Después de entrevistar a las víctimas llegaron a la conclusión de que no se debía a dispositivos comprometidos (macOS, Windows, Android, iPhone) ni a una empresa telefónica en particular, sino que había algo más y la sospecha paso a ser el gateway de envío de SMS a los usuarios.

El 21 de marzo publicaron una alerta e invitaron a todos los afectados a contactarlos y el 26 de marzo se contacta otro investigador que termina de confirma el hecho: uno de los proveedores de envío de SMS en Latinoamérica estaba hackeado y estaban accediendo a todos los mensajes enviados.

Cuando una empresa como Apple, por ejemplo, envía un mensaje de texto con un código de seguridad, el mensaje no le llega directo al usuario, sino que pasa por varios puntos y lo hace siempre en texto plano SIN encriptarse. El flujo sería algo así: "Apple" se lo envía a "Twilio", que luego se lo envía a un Tier 2, ese se lo envía a un Tier 3, ese lo envía a la telefónica y al final lo recibe el usuario. O sea que cada vez que te mandan un mensaje pasa por muchos servidores y sin encriptarse (es muy probable que alguien lo acceda en el medio).

¿Qué se supone que pasó?

Un empleado de una de estas empresas fue infectado por un malware, quizás por bajar algo crackeado o abrir un archivo infectado, este malware le instaló un InfoStealer y este programa le robó las contraseñas que tenía guardadas. Luego en la darkweb alguien accedió a ese usuario y contraseña, accedió al servidor y se encontró con un tesoro: por ese servidor pasaban decenas de miles de mensajes de texto con códigos.

Tras un análisis más profundo de las pruebas (incluyendo capturas de pantalla, registros y filtraciones de datos) y con la ayuda de colegas del sector, las sospechas se confirmaron. Un bot de Telegram interceptaba sistemáticamente mensajes SMS que contenían los códigos MFA. El análisis también verificó la autenticidad de los registros, lo que indica que la vulnerabilidad había permanecido inadvertida durante varias semanas.

Se pudo verificar que estos de mensajes de texto eran reales y además ya se habían creado bots para hackear cuentas de Telegram y otras plataformas de forma automática. Estas herramientas estaban siendo utilizadas para vulnerar cuentas de forma masiva.

A partir de ese momento se pudo notificar a todas las empresas, organizaciones que de alguna forma estaban siendo afectadas para intentar solucionar el problema lo antes posible.

Desde el miércoles 26 en adelante se le dedicaron a ayudar a la empresa afectada (que terminó no siendo la única) y a detectar por donde habían entrado. Luego, durante el fin de semana, se puedo detectar el servidor comprometido y lograron darlo de baja.

Dado que muchas empresas utilizan los mismos proveedores de pasarelas de SMS, los atacantes interceptaron con éxito mensajes SMS de MFA de numerosos servicios destacados, como Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu y Signal, así como de servicios regionales como Mercado Pago, Mi Argentina (Argentina), Banco Formosa (Argentina) y TRANSVIP (Chile). Basándose en investigaciones internas, información pública y datos filtrados, se cree que al menos 50 servicios se vieron afectados.

Además, los mensajes interceptados incluían datos altamente sensibles como credenciales, datos personales y códigos MFA, lo que explica cómo se produjeron las apropiaciones de cuentas de Telegram sin interacción del usuario.

Cómo evitar el robo de cuentas

Las cuentas personales, tanto de WhatsApp como de correo o de aplicaciones bancarias, son muy codiciadas por los atacantes para cometer estafas. En general, una vez que se toma el control, los cibercriminales se hacen pasar por conocidos para pedir dinero o cometer todo tipo de ataques de ingeniería social.

En enero del año pasado, usuarios de la aplicación Payoneer sufrieron en Argentina el vaciamiento de sus cuentas durante un fin de semana, cuando la popular app de pagos tuvo un problema con un gateway similar al de Sondeos. Mediante el interceptado de los SMS, hackers robaron accesos y transfirieron el dinero a cuentas propias.

Por este motivo, siempre hay que tener un segundo factor de autenticación activado, esto es, un paso más además de la contraseña para poder iniciar sesión, pero este método nunca tiene que ser el SMS, que es conocido en el ambiente de la ciberseguridad por ser inseguro.

Uno de los ataques más conocidos en el ámbito de la ciberseguridad es el "SIM swapping", que consiste en duplicar la tarjeta SIM del teléfono para suplantar la identidad de la víctima. "Más allá del SIM swapping, los SMS no están cifrados, lo que facilita interceptarlos. Siempre es mejor usar aplicaciones como Google o Microsoft Authenticator, que se descargan de las tiendas oficiales de Google y Apple y son súper fáciles de usar, además de más seguros", explica a Clarín Arturo Busleiman, especialista en ciberseguridad de Buanzo Consulting.

De hecho, las "passkeys" son otra forma segura de iniciar sesión que WhatsApp, Google y Apple ya permiten activar desde las opciones de configuración de cuenta. Se trata de un método de autenticación biométrica o mediante PIN a través de un dispositivo de confianza establecido por el usuario.

Sea con aplicaciones, passkeys o hasta llaves FIDO, asegurar cuentas con un segundo factor es fundamental para estar protegidos. Y el SMS debería ser la última opción, en tanto hay múltiples hackeos que tienen como puerta de entrada los mensajes de texto.

Nunca es tarde para señalar que el sistema de envio de SMS es inseguro y que las empresas y los usuarios deben dejar de utilizarlo.

Recomendaciones para no perder y/o recuperar el número de teléfono y la cuenta de Telegram

Los procesos descriptos a continuación han sido probados decenas de veces y funcionan, solo hay que tener paciencia.

PREVENCIÓN: Si aún no fuiste víctima es probable que alguien registre tú número de teléfono en Telegram, sin tu conocimiento, y lo utilice para cometer fraudes. Que tú no lo sepas no significa que no esté sucediendo.

La explicación larga y técnica está en este post, pero sobre todo, lo IMPORTANTE:

  1. Si ya tienes el número registrado en Telegram, asegúrate que tengas el 2FA y que ingresas a la cuentas al menos una vez cada 3 meses. No debes hace nada más.
  2. Si no utilizas Telegram, tú o tu empresas tienen números de teléfonos registrados y/o utilizan WhatsApp, entonces DEBEN registrar una cuenta de Telegram muleto y colocarle el 2FA, aunque nunca las vayas a utilizar.
    Debes ingresar a esa cuenta al menos una vez cada 3 meses para que no se elimine automáticamente.
    ¿Por qué? Porque existen cientos de casos de cuentas (personales y empresariables) que son robadas de la forma descripta anteriormete. Los delincuentes usan en nombre de personas y de esas empresas, para cometer fraudes.
  3. Si trabajas en una empresa, por favor informa a tus áreas de comunicación, marketing, redes sociales, etc. que estén alertas sobre el uso del número de teléfono registrado.
  4. Por último, comunícate con tus empresas proveedoras de SMS y otros canales de comunicación utilizados porque este problema es global en América Latina, afecta a varios proveedores y muchos aún no lo han reconocido o ni siquiera lo saben. Por lo tanto los delincuentes siguen  abusando del ingreso ilegítimo que tienen a dichas empresas y acceden a leer los SMS de registro de Telegram, sin control alguno.
  5. Y, finalmente, si trabajas en un empresa, deja de utilizar SMS para registrar y validar a tus usuarios.

Si ya fuiste víctima, sigue estos pasos.

  • Intenta levantar Telegram con el número y el chip real. Si funciona, felicitaciones!
  • Pero, probablemente Telegram te va a informar que no se puede registrar porque el número ya está en uso y tiene 2FA activado (sí, los delincuentes lo activan para bloquear la recuperación).
  • Si es así escribe un mail a [email protected] con estos datos:
    • número de teléfono asociado a la cuenta;
    • correo electrónico vinculado a la cuenta (si estaba configurado previamente);
    • fecha aproximada de creación de la cuenta falsa;
    • capturas de pantalla o pruebas de que eres el dueño legítimo del número de teléfono (por ejemplo, facturas de tu operador telefónico).
    • ser claro y conciso en tu solicitud, explicando que el número de teléfono fue robado y que alguien más activó el 2FA en tu cuenta y con tu número.
    • NOTA: El correo puede estar en español y/o inglés.
  • Seguramente verás un mensaje "poco alentador" que te indica esperar. Luego de unos 7 días, prueba activarlo de nuevo.
  • En general, Telegram primero suspende el número y luego lo habilita para que realices un nuevo registro.
  • Una vez recuperado, registra tu cuenta de Telegram con tu número real y activa el 2FA.
  • Si este proceso no funciona a la primera, repite hasta que recuperes el número.

Fuente: Cristian Borghello | Pablo Sabbatella | Clarín



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!