Un proveedor de mensajes de texto (SMS) que opera en Argentina, Chile y
Uruguay, fue hackeado y, desde febrero analistas de seguridad empezaron a
detectar robos de cuentas personales a partir del uso de SMS inseguros, el
método que lamentablemente siguen utilizando miles de empresas en el mundo.
La empresa sondeos Global, un «gateway» que envía SMS para seguir envíos,
resetear contraseñas o enviar notificaciones publicó un documento interno
enviado a sus clientes, donde reconocen un ingreso no autorizado a sus
servidores el 24 de marzo (aunque se sabe que el ataque se inicio antes) y
aseguran que atacantes
«accedieron a capturar tráfico de SMS en tiempo real, con alrededor de 30
mil datos capturados». Sondeos Global realizó una denuncia sobre el hackeo en la Unidad Fiscal
Especializada en Ciberdelincuencia.
«El hackeo afectó a clientes de Argentina y Uruguay, con tráfico de
múltiples clientes con contenido del tipo OTP, marketing, gaming y otros», agrega el reporte. OTP es un tipo de clave que se usa una sola vez (One Time Password), como segundo factor, para entrar a una cuenta una vez que se introduce la
contraseña. Los SMS funcionan como vehículo de estos OTP.
Estos mensajes se utilizan como método para notificar usuarios: desde un
delivery hasta el envío de códigos para entrar a Gmail o Instagram. La
vulnerabilidad de este sistema permite a los estafadores tomar control de
otras cuentas para realizar estafas.
«Desde febrero empezamos a detectar una serie de robos de cuentas por parte
de distintos atacantes que estaban interceptando estos códigos de seguridad
que llegan por mensaje de texto, de empresas como Mercado Libre, Google,
Facebook, Instagram y Apple»,
dijo Pablo Sabbatella, especialista en seguridad cripto de Opsek.
«Empezamos a investigar el tema junto con Opsek, The Red Guild y SEAL y
llegamos a la conclusión de que los hackeos no se debían a los dispositivos
de los usuarios sino al gateway encargado de enviar los SMS de autenticación
en Argentina: había un proveedor comprometido. Lo reportamos el miércoles 26
y el viernes 28 de marzo las empresas afectadas informaron que habían
detectado la filtración y asegurado sus sistemas», agregó.
Cabe destacar que estos incidentes no requerían la interacción de las víctimas e incluso afectaron a personas que utilizaban las mejores prácticas básicas de seguridad operativa (opsec).
Clarín pudo corroborar
que los principales proveedores de telecomunicaciones de Argentina conocen el
caso y están alerta para impedir que los atacantes continúen explotando este
acceso no autorizado al envío de SMS.
Qué es un gateway y cómo fue vulnerado en el ataque
El gateway es un servicio que diferentes proveedores usan para enviar SMS: a
ese rubro se dedica Sondeos Global, la empresa afectada.
Los mensajes de texto todavía se utilizan como segundo factor de
autenticación y método de reseteo de contraseñas.
Cuando un usuario quiere entrar a una plataforma, sea de Google, Apple o
Mercado Libre, el proceso de autenticación suele exigir un segundo factor.
Esto es por motivos de seguridad: si un atacante sabe nuestra contraseña, no
es suficiente para robarnos la cuenta (account takeover, como se conoce a esta
práctica).
«Un SMS gateway ofrece la posibilidad de gestionar envíos de SMS por parte
de las empresas que requieran este servicio de mensajería hacia sus
clientes. El proveedor del SMS gateway se encarga del envío hacia los
operadores de telefonía móvil. Es decir, es un intermediario entre la
empresa que quiere comunicar (Google, por ejemplo) y el cliente de la
compañía que debe recibir el mensaje», explicó a Clarín Ileana Barrionuevo, especialista en seguridad informática.
«El envío de SMS se usa en estos casos para recuperar o restablecer
contraseñas en las plataformas, en donde el cliente recibe el mensaje de
texto que posee un código (OTP) para ser utilizado como un doble factor o
código de verificación, o bien recibe una contraseña temporal; también para
inicios de sesión rápidos», agrega.
En este caso, la empresa explicó en su reporte interno que los atacantes
lograron comprometer el servidor SMPP.
«Es un protocolo que establece las reglas de intercambio de SMS: por un
lado está el cliente, que puede ser una aplicación; por el otro, el
servidor, que corresponde al operador móvil, la empresa que da internet. Si
un atacante vulnera el SMPP, puede conseguir acceso a todo el detalle de lo
que ocurre en esa comunicación», advierte Barrionuevo.
Investigación técnica
Gracias a un investigación llevada adelante por Pablo Sabbatella y un grupo de
investigadores, se pudo conocer cómo el robo de algunas cuentas de Telegram
terminó desenmascarando el hackeo de una gran parte de los SMS enviados por
las principales tecnológicas del mundo (Apple, Binance, Google, Microsoft,
Whatsapp, Instagram, Facebook, Paypal, Mercadolibre, Telegram, Mi Argentina y
más) a sus clientes en Argentina, Uruguay y Chile.
NOTA: Pablo publicó la historia como se dio todo y agradece
@theredguild y su metodologia de
trabajo super ordenada, @_SEAL_Org que
ayudó a coordinar las comunicaciones, «Kentucky» que, de forma anónima,
coordinó la comunicación con otros profesionales. También destaca al periodista Juan Brodersen (aka @juanbrodersen), del diario Clarín, con quien coordinaron publicar todo de forma responsable y cuando fuera seguro
hacerlo.
A principios de febrero empezaron a recibir los primeros
reportes de usuarios argentinos a los que les habían hackeado o intentado
hackear su cuenta de Telegram, interceptando los códigos de autorización que
Telegram envía por SMS y a través de la aplicación. Si nunca habían instalado Telegram o no tenían el 2FA, los hackeaban.
La
segunda semana de marzo estos casos se intensificaron
y empezaron a ser masivos. Después de entrevistar a las víctimas llegaron a la
conclusión de que no se debía a dispositivos comprometidos (macOS, Windows,
Android, iPhone) ni a una empresa telefónica en particular, sino que había
algo más y la sospecha paso a ser el gateway de envío de SMS a los usuarios.
El 21 de marzo publicaron una alerta e invitaron a todos los afectados a
contactarlos y el 26 de marzo se contacta otro investigador que termina de
confirma el hecho: uno de los proveedores de envío de SMS en Latinoamérica
estaba hackeado y estaban accediendo a todos los mensajes enviados.
Cuando una empresa como Apple, por ejemplo, envía un mensaje de texto con un
código de seguridad, el mensaje no le llega directo al usuario, sino que pasa
por varios puntos y lo hace siempre en texto plano SIN encriptarse. El flujo
sería algo así: «Apple» se lo envía a «Twilio», que luego se lo envía a un
Tier 2, ese se lo envía a un Tier 3, ese lo envía a la telefónica y al final
lo recibe el usuario. O sea que cada vez que te mandan un mensaje pasa por
muchos servidores y sin encriptarse (es muy probable que alguien lo acceda en
el medio).
¿Qué se supone que pasó?
Un empleado de una de estas empresas fue infectado por un malware, quizás por
bajar algo crackeado o abrir un archivo infectado, este malware le instaló un
InfoStealer y este programa le robó las contraseñas que tenía guardadas. Luego
en la darkweb alguien accedió a ese usuario y contraseña, accedió al servidor
y se encontró con un tesoro: por ese servidor pasaban decenas de miles de
mensajes de texto con códigos.
Tras un análisis más profundo de las pruebas (incluyendo capturas de pantalla, registros y filtraciones de datos) y con la ayuda de colegas del sector, las sospechas se confirmaron. Un bot de Telegram interceptaba sistemáticamente mensajes SMS que contenían los códigos MFA. El análisis también verificó la autenticidad de los registros, lo que indica que la vulnerabilidad había permanecido inadvertida durante varias semanas.
Se pudo verificar que estos de mensajes de texto eran reales y además ya se
habían creado bots para hackear cuentas de Telegram y otras plataformas de
forma automática. Estas herramientas estaban siendo utilizadas para vulnerar
cuentas de forma masiva.
A partir de ese momento se pudo notificar a todas las empresas, organizaciones
que de alguna forma estaban siendo afectadas para intentar solucionar el
problema lo antes posible.
Desde el miércoles 26 en adelante se le dedicaron a ayudar a la empresa
afectada (que terminó no siendo la única) y a detectar por donde habían
entrado. Luego, durante el fin de semana, se puedo detectar el servidor
comprometido y lograron darlo de baja.
Dado que muchas empresas utilizan los mismos proveedores de pasarelas de SMS, los atacantes interceptaron con éxito mensajes SMS de MFA de numerosos servicios destacados, como Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu y Signal, así como de servicios regionales como Mercado Pago, Mi Argentina (Argentina), Banco Formosa (Argentina) y TRANSVIP (Chile). Basándose en investigaciones internas, información pública y datos filtrados, se cree que al menos 50 servicios se vieron afectados.
Además, los mensajes interceptados incluían datos altamente sensibles como credenciales, datos personales y códigos MFA, lo que explica cómo se produjeron las apropiaciones de cuentas de Telegram sin interacción del usuario.
Cómo evitar el robo de cuentas
Las cuentas personales, tanto de WhatsApp como de correo o de aplicaciones
bancarias, son muy codiciadas por los atacantes para cometer estafas. En
general, una vez que se toma el control, los cibercriminales se hacen pasar
por conocidos para pedir dinero o cometer todo tipo de ataques de ingeniería
social.
En enero del año pasado,
usuarios de la aplicación Payoneer sufrieron en Argentina el vaciamiento
de sus cuentas durante un fin de semana, cuando la popular app de pagos tuvo
un problema con un gateway similar al de Sondeos. Mediante el interceptado de
los SMS, hackers robaron accesos y transfirieron el dinero a cuentas propias.
Por este motivo,
siempre hay que tener un segundo factor de autenticación activado, esto
es, un paso más además de la contraseña para poder iniciar sesión, pero
este método nunca tiene que ser el SMS, que es conocido en el ambiente
de la ciberseguridad por ser inseguro.
Uno de los ataques más conocidos en el ámbito de la ciberseguridad es el «SIM
swapping», que consiste en duplicar la tarjeta SIM del teléfono para suplantar
la identidad de la víctima.
«Más allá del SIM swapping, los SMS no están cifrados, lo que facilita
interceptarlos. Siempre es mejor usar aplicaciones como Google o Microsoft
Authenticator, que se descargan de las tiendas oficiales de Google y Apple y
son súper fáciles de usar, además de más seguros», explica a Clarín Arturo Busleiman, especialista en ciberseguridad de Buanzo
Consulting.
De hecho, las
«passkeys»
son otra forma segura de iniciar sesión que WhatsApp, Google y Apple ya
permiten activar desde las opciones de configuración de cuenta. Se trata de un
método de autenticación biométrica o mediante PIN a través de un dispositivo
de confianza establecido por el usuario.
Sea con aplicaciones, passkeys o hasta llaves FIDO, asegurar cuentas con un
segundo factor es fundamental para estar protegidos. Y el SMS debería ser la
última opción, en tanto hay múltiples hackeos que tienen como puerta de
entrada los mensajes de texto.
Nunca es tarde para señalar que el sistema de envio de SMS es inseguro y que las empresas y los usuarios deben dejar de utilizarlo.
Fuente:
Pablo Sabbatella
| Clarin