Los ciberdelincuentes pueden interceptar los SMS que recibes en tu teléfono por menos de 14 euros al mes: así es el peligroso agujero de seguridad recién detectado

Con menos de 14 euros y escasos conocimientos técnicos, un hacker acaba de demostrar que puede aprovechar un agujero de seguridad en una plataforma de marketing y de gestión de mensajes de textos masivos. El objetivo: interceptar todos los SMS que pueda recibir la víctima en su teléfono.

Los detalles los ha publicado Motherboard. El redactor del portal tecnológico ha autorizado a un hacker conocido como Lucky225 que le atacara para poder demostrar en este artículo cómo funciona esta gravísima y peligrosa brecha de seguridad.

Se trata de un agujero que estaba presente en Sakari, una plataforma que ayuda a agencias de marketing y empresas a enviar SMS masivos gracias a la tecnología de la nube. Con un sencillo exploit, los ciberdelincuentes podían registrarse en el servicio, contratar el plan más barato por 16 dólares (menos de 14 euros al mes) e introducir en su perfil el número de teléfono de la víctima.

"No esperaba que fuese tan rápido", reconoce el autor del artículo en Motherboard. Cuando estaba en una videollamada con un compañero de redacción, empezó a recibir unos mensajes por WhatsApp con pantallazos de su cuenta en una app de citas y en una app de reparto de comida a domicilio. Era el hacker con el que había empezado a colaborar para demostrar que esta vulnerabilidad funciona.

Esto es lo que pagan los ciberdelincuentes en la 'dark web' por tus datos: las tarjetas de crédito españolas robadas son de las más caras, solo 30 euros

Fue en cuestión de minutos, por lo que se descarta que el hacker utilizara técnicas más convencionales como el SIM swapping, un fraude informático en el que los atacantes primero recopilan información personal de sus víctimas mediante formularios fraudulentos enviados con phishing —haciéndose pasar por un proveedor bancario, por ejemplo—. Después, el hacker se pone en contacto con la operadora y haciendo ingeniería social, convence a los trabajadores de atención al cliente de que dupliquen la SIM de la víctima a un nuevo número.

Cuando una persona sufre un ataque de SIM swapping, lo primero que aprecia es que ha perdido conectividad y cobertura en su terminal: su tarjeta SIM está funcionando en otro terminal. Para cuando se ha querido dar cuenta, la víctima ya está siendo hackeada en diversas plataformas. Con el acceso a la bandeja de entrada de SMS, los ciberdelincuentes pueden acceder a los códigos de autenticación que todas las plataformas envían al iniciar sesión en, por ejemplo, el banco.

De este modo, muchas personas ven atónitas cómo los criminales vacían sus cuentas bancarias en cuestión de minutos.

Pero la brecha que ha descubierto Motherboardes mucho más grave, porque es igual de eficaz y además mucho más eficiente: solo requiere registrarse en la plataforma antes descrita, Sakari, aprovechando esa vulnerabilidad.

Lo cierto es que se desconoce si esta vulnerabilidad ya se estaba explotando sin que nadie la hubiese detectado. Teli Tuketu es el CEO de Okey Systems, una compañía especializada en proveer de herramientas para garantizar ciberseguridad y que sus clientes no sufran suplantaciones de identidad en la red. El hacker, Lucky225, trabaja en esta marca. Tuketu es tajante: esta brecha ya se estaba explotando.

Aunque Motherboard también consulta a otros especialistas, que revelan la gravedad del asunto. Karsten Nohl, investigadora en Security Research Labs, detalla al medio que "nunca había visto" un ataque semejante. Eva Galperin, directora de ciberseguridad en la organización de activistas Fronteras Electrónicas, defiende que este incidente "remarca la necesidad de que la gente abandone ya los servicios de SMS de confirmación y todos los inicios de sesión vinculados a un número de teléfono".

Mafias de ciberdelincuentes están aprovechando el hackeo masivo a un software de Microsoft para disparar a más de 120.000 servidores vulnerables

El redactor insiste: cuando el hacker se registró en Sakari, tuvo que firmar unos términos y condiciones en los que se advertía que los usuarios no cometerían ilícitos ni comportamientos inadecuados con la plataforma de SMS. Pero Lucky225 ha demostrado cómo un usuario puede pinchar en la casilla de "aceptar" y empezar a recibir SMS secuestrados.

Una compañía similar a Takari, Text My Main Number, confirma a Motherboard que ellos han detectado actividad sospechosa también en su plataforma con una cuenta "que suspendimos inmediatamente y denunciamos".