Los piratas informáticos utilizan la aplicación de mensajería para cometer ciberdelitos

Por Caique Barqueta: Podemos decir que Telegram es una app de mensajería que está siendo utilizada por muchas personas en todo el mundo para diversos fines, ya sea para actividades legales o ilegales.

Con fines ilícitos, Telegram se utiliza para cometer ciberdelitos, ya sea para vender datos, filtrar datos personales, hacer hacktivismo, vender productos ilegales como documentos falsos y estupefacientes, etc.

Una de las razones por las que la aplicación es la preferida por los ciberdelincuentes para llevar a cabo sus actos ilegales es por el cifrado que incorpora y la posibilidad de crear canales y grandes grupos privados.

Acerca de la aplicación

La aplicación Telegram es un tipo de servicio de mensajería "multiplataforma" lanzado en 2013 por los hermanos rusos Nikolai y Pavel. La plataforma permite a los usuarios enviar mensajes, vídeos, fotos y archivos de cualquier tipo, como .doc, .zip, .mp4 y otros de hasta 2 GB de tamaño, y permite crear grupos y canales.

Según Telegram, sería la única empresa centrada en la privacidad, el cifrado y una API de código abierto, que ofrece chats cifrados "de extremo a extremo " como opción y todos los mensajes enviados pueden ser eliminados en cualquier momento, ya sea por el remitente o el destinatario.

La API puede utilizarse para la integración con otras plataformas, bots personalizados, temas, pegatinas y otros fines.

Uno de los puntos que podemos mencionar es que Telegram ya ha cooperado con las fuerzas de seguridad en ciertos casos, lo que nos lleva a cuestionarnos si los mensajes son realmente tan privados como todo el mundo imagina.

Usuarios de Telegram

Los usuarios de Telegram tienen prácticamente dos identificadores: "nombres de usuario" e "identificadores de usuario". Los nombres de usuario no son públicos y pueden editarse en la configuración. Una vez definidos los nombres, el usuario puede compartir su perfil con otras personas a través de un enlace, que se forma de la siguiente manera: "t.me/nombredeusuario". Telegram asigna los nombres de usuario a los usuarios, grupos y canales, y los usuarios no pueden cambiarlos.

Canales de Telegram

Los canales que pueden crear los usuarios de Telegram

Los usuarios pueden utilizar los canales para crear comunidades, lo que les permite compartir recursos ilimitados en ellas. Estos canales son plataformas de comunicación unidireccionales, lo que significa que solo los administradores pueden enviar mensajes y los suscriptores y participantes del canal no pueden responder.

En 2020, Telegram actualizó la plataforma y permitió a los suscriptores del canal comentar las publicaciones del canal.

Grupos de Telegramas

La siguiente función que enviamos son los grupos de chat, donde los miembros pueden interactuar entre sí y responder a los mensajes. En el caso de los grupos, otros usuarios pueden ver otros contactos, por lo que hay grupos cerrados y grupos abiertos.

Una de las cosas que diferencia a Telegram de otras apps es la posibilidad de añadir hasta 200.000 personas a un mismo grupo.

Creación de robots

Telegram permite utilizar y crear bots, que son esencialmente cuentas automatizadas de Telegram. Son buenas herramientas para diversos fines, como crear y gestionar chats de grupo, actuar como asistentes y mucho más. Además, los bots están automatizados para recopilar datos desde fuera de la aplicación.

Toncoin, la moneda de Telegram

La aplicación tiene su propia criptomoneda, ahora conocida como Toncoin, que es un token nativo de The Open Network, una tecnología basada en blockchain desarrollada por Telegram.

Podemos considerar que Telegram es una plataforma muy utilizada por la ciberdelincuencia, ya que pueden compartir información, datos, coordinar actividades, así como utilizar Telegram como vía de contacto con otros actores maliciosos. Además, Telegram facilita la venta de datos robados y bienes ilícitos, o incluso el reclutamiento de nuevos miembros para sus actividades.

Anunciar y dar a conocer el canal de Telegram

Telegram es utilizada por los ciberdelincuentes por razones que garantizan la privacidad y la seguridad. La plataforma también permite a los usuarios registrar cuentas sin divulgar información personal, lo que simplifica la configuración de varias identidades que pueden utilizarse sin revelar la identidad del usuario.

Otra opción para los ciberdelincuentes es que los usuarios de Telegram pueden registrarse con números virtuales o números de teléfono extranjeros que pueden no estar relacionados con sus identidades reales, lo que dificulta la identificación de la identidad real del actor de la amenaza.

Para las organizaciones que trabajan en la lucha contra el fraude y los actos maliciosos de estos actores, es posible buscar canales y grupos de Telegram simplemente escribiendo una determinada palabra relevante en la barra de búsqueda, así como acceder a los datos de determinados canales o grupos y crear bots para buscar y recopilar datos.

Venta de datos robados

A través de los canales de Telegram se anuncian cuentas de populares servicios de streaming y otros servicios, y las publicaciones realizadas pueden ponerse a disposición de los potenciales compradores para que elijan y negocien directamente con el anunciante en forma de venta de cuentas.

Anuncio de cuentas para un servicio de streaming
Anuncio de la cuenta de la plataforma Netflix

Cabe destacar que algunos foros de ciberdelincuentes alojados en la web profunda y oscura cuentan con canales exclusivos de Telegram, como el canal de Telegram de Raid Forums.

Raid Forums Canal de Telegram
Foros públicos de redadas en la Deep Web

Otro hecho habitual en los chats de Telegram es la reventa de datos robados y exfiltrados de empresas. Después de que un actor de amenazas concreto haga públicos los datos, otros actores pueden descargarlos y venderlos más tarde, alegando que se trata de nuevos datos filtrados.

Existen canales en Telegram que acaban proporcionando una amplia fuente de recursos para identificar dónde se está produciendo la venta de datos de determinadas organizaciones, como las imágenes que se muestran a continuación.

Venta de datos de una organización brasileña
Seguimiento de los canales y sitios del Foro sobre organizaciones brasileñas

InfoStealers

El malware stealer es un malware que se centra en robar información y datos de un dispositivo que ha sido infectado y, una vez que los datos han sido exfiltrados, estos datos se venden comoregistrosstealer, cuyos registros contienen toda la masa de datos que se ha recopilado de las víctimas.

La infección con este malware va en aumento, ya que continuamente se lanzan y difunden nuevos programas de malware como servicio, como Redline, Mysitc, Meduza, Vidar y otros tipos de malware.

Los registros vendidos contienen información como credenciales de inicio de sesión del usuario, historiales de navegación, cookies, tokens de autenticación e información sobre el dispositivo del usuario. Si algún actor de amenazas compra estos registros, podría dar lugar a otros tipos de ataques o incidentes de seguridad, como exfiltración de datos, movimientos laterales, venta de accesos y otros.

Mensaje sobre la venta de troncos RedLine
Publicación de Mystic Stealer (malware-as-a-service)

Algunos servicios de malware se integran con estos tipos de malware para exfiltrar datos, por ejemplo, después de infectar a una víctima, el actor de la amenaza puede optar por exfiltrar a un canal o bot creado por el actor malicioso.

Telegram se ha convertido en una de las principales herramientas de los actores de amenazas para vender este tipo de registros de robo, por lo que es importante prevenir la infección de malware de tipo robo adoptando las mejores prácticas para evitar la venta de datos en canales tipo Telegram.

Actores de ransomware y otros

Los actores de amenazas que pueden clasificarse como grupos de ransomware también han migrado al uso de la plataforma Telegram como medio para publicar y extorsionar a las organizaciones afectadas.

Otros actores de amenazas como Lapsu$ y Stormous han publicado datos de organizaciones atacadas, creado chats para discusiones entre miembros e incluso creado canales dedicados para filtrar los datos de una víctima.

Stormous Ransomware Group hace publicidad de su empresa
Publicación de LAPSUS$
Canal del ransomware Bl00dy

Conclusión

Telegram se ha convertido en una de las mayores herramientas utilizadas por los actores de amenazas para la comunicación, ventas, publicidad y cualquier otro tipo de motivación que los actores de amenazas encuentren interesante y relevante para sus operaciones. Puede considerarse como otra plataforma a vigilar, ya que es probable que Telegram sea adoptada y utilizada por los actores de amenazas para llevar a cabo estos actos ilegales.

 Está claro que es eficaz que los investigadores de seguridad identifiquen a estos actores de la amenaza, ya que el seguimiento puede ayudar a prevenir y mitigar los ciberataques a las organizaciones, y se puede recopilar información relevante sobre estos actores, como tácticas, técnicas y procedimientos, herramientas utilizadas por los actores y su comportamiento.

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.