Telegram, Instagram, TikTok en un solo caldo: un bot intercepta SMS y merodea por cuentas ajenas

Hace unas semanas, usuarios argentinos comenzaron a informar a especialistas en seguridad sobre casos extraños de hackeo de cuentas de Telegram. Lo insólito del asunto era que no se requería ninguna acción por parte de las víctimas para que se produjera el secuestro de sus cuentas. Los ataques tenían éxito incluso contra quienes seguían cuidadosamente las reglas básicas de seguridad digital.

La investigación reveló que no se trataba de incidentes aislados. Los atacantes apuntaban deliberadamente a miembros de ciertos grupos, en su mayoría relacionados con comunidades de criptomonedas en Argentina. En todos los casos, los hackers activaban intencionalmente el envío de SMS con códigos de autenticación de dos factores. Luego aparecían registros de acceso con entradas idénticas.

Un análisis minucioso de los datos recolectados permitió rastrear los primeros casos de ataques: comenzaron el 7 de febrero de este año. Al grupo se le asignó el nombre en clave SLOVENLY COMET. Los expertos hacen un llamado a quienes tengan información sobre estos atacantes a escribir a tips-slovenly-comet@securityalliance.org.

Tras evaluar varias hipótesis, un equipo internacional de investigadores, junto con especialistas locales, propuso la teoría de una comprometida de pasarelas SMS. El análisis posterior de evidencias —capturas de pantalla, registros del sistema y datos filtrados— confirmó la sospecha. Se descubrió un bot de Telegram que interceptaba sistemáticamente mensajes con códigos de autenticación. Su archivo contenía decenas de miles de registros de este tipo.

Los expertos confirmaron la autenticidad de los registros: la filtración duró varias semanas sin ser detectada.

La magnitud de la amenaza resultó ser mucho mayor de lo que se pensaba al principio. Dado que la mayoría de las empresas utilizan los servicios de varios grandes proveedores de SMS, los atacantes obtuvieron acceso a mensajes con códigos de autenticación de numerosos servicios populares: Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu y Signal. También fueron afectadas plataformas regionales como Mercado Pago, Mi Argentina (Argentina), Banco Formosa (Uruguay), TRANSVIP (Chile). En total, se estima que al menos 50 plataformas diferentes se vieron comprometidas.

La brecha fue descubierta en un componente básico de la infraestructura de los servicios SMS. Todas las organizaciones implicadas, operadoras de telecomunicaciones y autoridades gubernamentales ya han sido notificadas. Actualmente se está llevando a cabo una investigación del incidente y se están desarrollando medidas de protección.

En los próximos días deberían aparecer más detalles: las empresas afectadas están preparando informes sobre sus propias investigaciones. Mientras tanto, los desarrolladores de servicios están siendo instados a abandonar el uso obligatorio de SMS para la autenticación en dos pasos, ya que la vulnerabilidad de este método frente a ataques de interceptación es conocida desde hace más de una década. En su lugar, es necesario ofrecer a los usuarios alternativas seguras como aplicaciones de autenticación o llaves físicas.

A los usuarios se les recomienda revisar las configuraciones de seguridad en sus dispositivos y reportar cualquier actividad sospechosa a las autoridades correspondientes.