Hackers vulneraron Telegram y cuentas de emails de 20 “criptoejecutivos” israelíes
Hackers atacaron aproximadamente a 20 ejecutivos de criptomonedas israelíes a principios de septiembre. Esto exigieron pagos en criptomonedas después de hackear sus teléfonos y robar sus identidades. La fuente de noticias israelí Haaretz informó del ciberataque. El ataque que finalmente no resultó en la pérdida de fondos, pudo haber sido llevado a cabo por un equipo patrocinado por un estado.
Según Haaretz, el ataque fallido también involucró a una empresa de telecomunicaciones, una empresa de ciberseguridad llamada Pandora, y “quizás incluso al Shin Bet israelí. Shin Bet es el servicio de seguridad interno israelí conocido como la Agencia de Seguridad de Israel. Asimismo, el Mossad y la Seguridad Cibernética Nacional de Israel. Es decir, las autoridades también estuvieron involucradas en la investigación.
Incidente
La historia comenzó el 7 de septiembre. Esa fecha Tzahi Ganot, cofundador de Pandora Security, una empresa de ciberconsultoría especializada en protección para ejecutivos en puestos sensibles fue contactado. Él dijo que su empresa fue contactada por “un nuevo cliente”.
El hombre era “un subdirector financiero de una empresa que dijo que su teléfono móvil había sido hackeado durante la noche. Él aseguraba que su cuenta de Telegram y tal vez otras cuentas habían sido vulneradas”, dijo Ganot a Haaretz.
En ese momento, “los hackers [habían] enviado mensajes a los contactos de este hombre desde su cuenta de Telegram en su nombre. En los mensajes les pedía que enviaran criptomonedas”, explicó Ganot. En ese momento, “le enviamos al ejecutivo una oferta de precio y traté de averiguar con mi socio cómo había sido hackeado su teléfono. Queríamos saber si fue hackeado por clonación de su tarjeta SIM o instalando una aplicación de malware en su teléfono”.
Los ataques relacionados con criptomonedas son algo común. No obstante, Ganot dijo que el hecho de que el hacker pudiera vulnerar las cuentas de Telegram era algo inusual. No es una tarea simple para un hacker.
Ese mismo día, Ganot dijo que su firma “envió un informe del caso a nuestros clientes. Y también a algunos grupos de criptomonedas de los que somos miembros”.
Sin embargo, a la mañana siguiente, “me inundaron los mensajes de personas que conozco y de algunas que no. Todos con quejas similares de haber sido hackeados”.
Ganot explicó que el hacker había logrado comprometer los teléfonos de aproximadamente 20 ejecutivos de empresas israelíes. Todos los afectados eran directores ejecutivos o vice-directores ejecutivos que dirigen firmas de criptomonedas. Además, “todas las víctimas eran clientes de [el gigante de las telecomunicaciones israelí] Partner”, dijo Ganot.
Hackeo de Telegram y correo electrónico
A muchos de los ejecutivos les hackearon las aplicaciones de Telegram; a otros les hackearon sus cuentas de correo de Gmail y Yahoo.
¿Cómo se las arregló el hacker para entrar en las cuentas? “El robo de identidad utilizó el teléfono para realizar un proceso de verificación de usuario con la ayuda de SMS”, explicó Ganot. Esto refiriéndose al método de verificación de identidad por SMS que utilizan innumerables servicios digitales, incluido Telegram.
Si un usuario de Telegram tiene dificultades para acceder a su cuenta, puede optar por recibir un código temporal por SMS. Este código puede usarlo para ingresar al servicio y reemplazar su contraseña. Esto es a lo que pudo acceder el hacker.
Por lo general, los hackers pueden acceder a estos mensajes SMS clonando las tarjetas SIM de los usuarios desprevenidos. Sin embargo, esta vez, los atacantes parecen haber secuestrado los mensajes SMS enviados por Partne. Esto podría explicar por qué todos los ejecutivos eran clientes de Partner.
“Robar los mensajes SMS de un usuario no es sencillo y no se supone que sea accesible para particulares”, explicó Ganot. Esta es la razón por la que la verificación por SMS generalmente se considera bastante segura.
Conclusiones
En última instancia, la investigación de Pandora reveló que el incidente probablemente fue un ‘ataque de suplantación de SMSC’. Así los atacantes aprovecharon la función de roaming de datos de un teléfono, dijo Ganot.
Este tipo de ataque requiere acceso a una red celular extranjera que interactúa directamente con las redes celulares israelíes. “los hackers enviaron un mensaje desde una red celular extranjera a una israelí, actualizando la ubicación del cliente”, explicó Ganot.
“Por ejemplo: ‘El cliente acaba de aterrizar en Tbilisi, se ha registrado en nuestra red. Enruta sus mensajes SMS a través de esta red ‘”. El plan logró ser tan efectivo porque “este es un procedimiento necesario para las personas que ingresan a un país extranjero. Cuando ingresan, los teléfonos celulares están en modo ‘roaming’”.
“Es un incidente poco común”, dijo Ganot.
