Los piratas informáticos pueden piratear cuentas Telegram llevando a cabo una ataque del protocolo SS7 interceptando los SMS y llamadas entrantes.

SS7, que es ya para que se usa?

Protocolo SS7 es utilizado para configurar redes móviles en todo el mundo. Utilizando el acceso al SS7 los hackers pudieron acceder a cuentas de Telegram. Además, tenían acceso a las cuentas de correo electrónico de personalidades famosas en el negocio de las criptomonedas, informa Bleeping Computer.

Los piratas informáticos intentaron obtener códigos para la autenticación de dos factores (2FA). Fue posible gracias a una vulnerabilidad en el sistema de mensajería SMS del proveedor de telefonía móvil de la víctima.

Los hackers que realizan un ataque SS7 pueden interceptar mensajes de texto y llamadas del destinatario real, actualizando la ubicación del dispositivo como si estuviera registrado en una red diferente.

El ataque ocurrió en septiembre y apuntó al menos a 20 suscriptores del operador móvil israelí Partner Communications. Anteriormente conocido como Orange Israel. Todos estaban involucrados en proyectos de criptomonedas de alto nivel.

Opinión del experto en ciberseguridad

Tsachi Ganot de Pandora Security que investigó el incidente y ayudó a las víctimas a recuperar el acceso a sus cuentas, dijo a BleepingComputer que toda la evidencia apunta a un ataque SS7 

Pandora Security se especializa en la creación de entornos digitales seguros y proporciona tecnologías y servicios cibernéticos para personas famosas como empresas y celebridades. Según Ganot, los clientes incluyen a algunas de las personas más ricas del mundo.

Ganot informó que los piratas informáticos probablemente falsificaron el centro de servicio responsable de enviar y recibir mensajes SMS del operador de red móvil. Lo usaron para enviar una solicitud para actualizar la ubicación de los números de teléfono de los socios de interés.

Básicamente, la solicitud de actualización requería que el socio enviara todas las llamadas de voz y mensajes SMS del destinatario real al MSC falso.

Esquema del ataque SS7

Ganot dice que los atacantes han estudiado a fondo las cuentas de sus víctimas y las contraseñas que se les filtraron. Conocían los números de abonado internacionales únicos. MSISDN – Número de directorio de abonado internacional para estaciones móviles. También estudiaron los números de Identidad de abonado móvil internacional (IMSI).

Los ataques SS7, si bien se han vuelto más comunes en los últimos años, no son fáciles de llevar a cabo. Requieren un buen conocimiento de la interoperabilidad de la red móvil doméstica y el enrutamiento de comunicaciones globales.

Ataque SS7

En este caso, el objetivo de los hackers era obtener criptomonedas. Ganot cree que algunos correos comprometidos de esta manera actuaron como un método de respaldo para otras cuentas con información más valiosa. Asi permite que un atacante obtenga acceso a ella.

“En algunos casos, los piratas informáticos se hacen pasar por víctimas pirateando sus cuentas de Telegram y escribiendo a algunos contactos pidiéndoles que intercambien BTC por ETC y similares”

Este método de engaño es bien conocido en la comunidad de las criptomonedas y los usuarios suelen desconfiar de tales solicitudes. Ganot dice que “hasta donde sabemos, nadie cayó en esto”.

Enviar códigos de verificación a través de SMS no se considera irrazonablemente inseguro. Pero muchos servicios, incluido Telegram, aún dependen de esta práctica, lo que pone a los usuarios en riesgo.

Hoy en día existen mejores métodos de autenticación que los SMS o los basados ​​en llamadas. Las soluciones incluyen aplicaciones específicamente creadas para este propósito o claves físicas, dijo Ganot. Los estándares de telecomunicaciones deben alejarse de los protocolos heredados como SS7 (desarrollado en 1975), que ya no son capaces de resolver problemas modernos.

El periódico israelí Haaretz dio a conocer detalles del ataque a principios de este mes. Dijo que la Agencia Nacional de Inteligencia de Israel ( Mossad ) y la Administración Nacional de Seguridad Cibernética del país estaban involucradas en la investigación .

La publicación también señala que Ganot y su socio (fundadores de Pandora Security) han trabajado para NSO durante varios años.