Telegram ha explotado como un centro para los ciberdelincuentes que buscan comprar, vender y compartir datos robados y herramientas de piratería, según muestra una nueva investigación, a medida que la aplicación de mensajería surge como una alternativa a la web oscura.
Una investigación realizada por el grupo de inteligencia cibernética Cyberint, junto con el Financial Times, encontró una red creciente de piratas informáticos que compartían filtraciones de datos en la popular plataforma de mensajería, a veces en canales con decenas de miles de suscriptores, atraídos por su facilidad de uso y moderación. .
En muchos casos, el contenido se parecía al de los mercados que se encuentran en la web oscura, un grupo de sitios web ocultos que son populares entre los piratas informáticos y a los que se accede mediante un software anónimo específico.
“Recientemente hemos sido testigos de un aumento de más del 100 por ciento en el uso de Telegram por parte de los ciberdelincuentes”, dijo Tal Samra, analista de amenazas cibernéticas de Cyberint.
«Su servicio de mensajería encriptada es cada vez más popular entre los actores de amenazas que realizan actividades fraudulentas y venden datos robados… ya que es más conveniente de usar que la web oscura».
El aumento de la actividad nefasta se produce cuando los usuarios acudieron en masa a la aplicación de chat encriptado a principios de este año después de que los cambios en la política de privacidad de WhatsApp, el rival propiedad de Facebook, llevaron a muchos a buscar alternativas.
Lanzado en 2013, Telegram permite a los usuarios transmitir mensajes a sus seguidores a través de «canales» o crear grupos públicos y privados a los que otros pueden acceder fácilmente. Los usuarios también pueden enviar y recibir grandes archivos de datos, incluidos archivos de texto y zip, directamente a través de la aplicación.
La plataforma dijo que tiene más de 500 millones de usuarios activos y superó los mil millones de descargas en agosto, según datos de SensorTower.
Pero su uso por parte del submundo ciberdelincuente podría aumentar la presión sobre la plataforma con sede en Dubái para reforzar su moderación de contenido mientras planea una futura oferta pública inicial y explora la introducción de publicidad en su servicio.
Según Cyberint, el número de menciones en Telegram de «Email:pass» y «Combo» (lenguaje de hackers que se utiliza para indicar que se están compartiendo listas de contraseñas y correos electrónicos robados) se cuadriplicó durante el año pasado, a casi 3400.
En un canal público de Telegram llamado “combolist”, que tenía más de 47 000 suscriptores, los piratas informáticos venden o simplemente hacen circular grandes volcados de datos de cientos de miles de nombres de usuario y contraseñas filtrados.
Una publicación titulada «Combo List Gaming HQ» ofreció 300,000 correos electrónicos y contraseñas que, según afirmó, eran útiles para piratear plataformas de videojuegos como Minecraft, Origin o Uplay. Otro pretendía tener 600.000 inicios de sesión para usuarios de los servicios del grupo ruso de Internet Yandex, otros para Google y Yahoo.
Telegram eliminó el canal el jueves después de que el Financial Times lo contactara para hacer comentarios.
Sin embargo, las filtraciones de contraseñas de correo electrónico representan solo una fracción de la actividad preocupante en el mercado de Telegram. Otros tipos de datos intercambiados incluyen datos financieros como información de tarjetas de crédito, copias de pasaportes y credenciales para cuentas bancarias y sitios como Netflix, encontró la investigación. Los delincuentes en línea también comparten software malicioso, exploits y guías de piratería a través de la aplicación, dijo Cyberint.
Mientras tanto, los enlaces a grupos o canales de Telegram compartidos dentro de foros en la dark web aumentaron a más de 1 millón en 2023, desde 172 035 el año anterior, ya que los piratas informáticos dirigen cada vez más a los usuarios a la plataforma como una alternativa más fácil de usar o un centro de información paralelo. .
La investigación sigue a un informe separado a principios de este año de vpnMentor, que encontró volcados de datos que circulan en Telegram de hacks anteriores y filtraciones de datos de compañías como Facebook, el proveedor de software de marketing Click.org y el sitio de citas Meet Mindful, entre otros.
“En general, parece que la mayoría de las filtraciones de datos y los hackeos solo se comparten en Telegram después de venderse en la dark web, o el hacker no pudo encontrar un comprador y decidió compartir la información públicamente y seguir adelante”, dijo vpnMentor.
Aún así, calificó la tendencia como «una escalada seria en el aumento continuo de delitos cibernéticos», y señaló que algunos usuarios en estos grupos parecían menos expertos en tecnología que un usuario típico de la web oscura.
Telegram dijo que no pudo verificar los hallazgos de vpnMentor porque los investigadores no habían compartido detalles que identificaran en qué canales estaban estas supuestas filtraciones.
Samra dijo que la transición de los ciberdelincuentes de la web oscura a Telegram se estaba dando en parte debido al anonimato que brinda el cifrado, pero señaló que muchos de estos grupos también eran públicos.
Telegram también es más accesible, proporciona una mejor funcionalidad y, en general, es menos probable que las fuerzas del orden lo rastreen en comparación con los foros de la web oscura, agregó.
“En algunos casos, es más fácil encontrar compradores en Telegram que en un foro porque todo es más fluido y rápido. El acceso es más fácil… y los datos se pueden compartir mucho más abiertamente”.
Los hackers están menos inclinados a usar WhatsApp tanto por razones de privacidad como porque muestra los números de los usuarios en chats grupales, a diferencia de Telegram, dijo Cyberint. La aplicación encriptada Signal sigue siendo más pequeña y tiende a usarse para mensajes más generales entre personas que se conocen en lugar de grupos estilo foro, agregó.
Telegram ha adoptado durante mucho tiempo un enfoque más laxo para la moderación de contenido que las aplicaciones de redes sociales más grandes como Facebook y Twitter, atrayendo el escrutinio por permitir que florezcan los grupos de odio y las teorías de conspiración. En enero, comenzó a cerrar grupos públicos de extremistas y supremacistas blancos, por primera vez, a raíz de los disturbios en el Capitolio en medio de preocupaciones de que se estaba utilizando para promover la violencia.
La investigación de Cyberint, en particular el descubrimiento de grupos públicos de búsqueda para ciberdelincuentes, plantea más preguntas sobre las políticas de moderación de contenido y la aplicación de Telegram en un momento en que el director ejecutivo Pavel Durov ha dicho que la compañía se está preparando para vender anuncios en los canales públicos de Telegram.
También se produce cuando la compañía se prepara para dirigirse a los mercados públicos después de recaudar más de mil millones de dólares a través de la venta de bonos en marzo a inversionistas que incluyen a Mubadala Investment Company, el gran fondo soberano de riqueza del emirato del Golfo, y Abu Dhabi Catalyst Partners, una empresa conjunta entre Mubadala y el fondo de cobertura de $ 4 mil millones de Nueva York Falcon Edge Capital.
Telegram dijo en un comunicado que “tiene una política para eliminar datos personales compartidos sin consentimiento”. Agregó que cada día, su “fuerza cada vez mayor de moderadores profesionales” elimina más de 10,000 comunidades públicas por violaciones de los términos del servicio luego de los informes de los usuarios.
© 2023 The Financial Times Ltd. Todos los derechos reservados No debe redistribuirse, copiarse ni modificarse de ninguna manera.
