El caso D’Alessandro es tanto una cuestión técnica como política. Sin desmedro de las implicancias para el poder, vale la pena pensar las cuestiones fácticas relacionadas con el presunto hackeo a la cuenta de Telegram de D’Alessandro.
Las filtraciones de la cuenta del Ministro de Justicia y Seguridad del Gobierno de la Ciudad de Buenos Aires sucedieron el primero de diciembre del año pasado a las once de la noche, esa fue la fecha en la que se creó el post con el dump de datos de la cuenta.
La filtración se dio en el sitio Breached.vc, un foro público donde aparecen diferentes leakers (personas que filtran información) que es, a su vez, el sucesor del extinto Raid Forums que supo ser uno de los sitios públicos más populares para filtrar información. El usuario que filtró la información prometía más de 500MB de información a quién pagará u$s 600. El único medio de pago habilitado eran las criptomonedas (Bitcoin o Monero).
Habilitan un número de WhatsApp para denunciar a los trapitos
Cómo se puede hackear una cuenta de Telegram
Telegram se considera una aplicación segura y más respetuosa de la privacidad que otros servicios de mensajería instantánea. Pero las funcionalidades de Telegram no son la panacea: no todas las funciones de seguridad de Telegram vienen activadas por defecto. Por caso, la encriptación de chats punto-a-punto solo está actividad automáticamente dentro de algunas funciones como los chats secretos y las videollamadas pero no en las conversaciones de chat comunes.
Los chats más usados de Telegram usan un tipo de encriptación cliente-servidor, esto quiere decir que la información se encripta en servidores de la empresa en vez de usuario a usuario por defecto. Es decir, si bien Telegram tiene funciones más respetuosas de la privacidad que otros servicios similares, no es a prueba de balas. Por lo que un hackeo a una cuenta de Telegram es posible.
En el caso de D’Alessandro, todavía no hay información oficial respecto a cómo se dio la filtración. La hipótesis que más fuerza tiene apunta hacia una maniobra exitosa de Sim Swapping. Esta técnica de hackeo, si bien existe en Argentina, no es muy común.
Estalla el verano 2023: estiman que el turismo movilizará más de u$s 5.600 millones esta temporada
Sim Swapping: la estafa más peligrosa
Una operación de Sim Swapping funciona de la siguiente manera. Utilizando las funciones de la tarjeta SIM (módulo de identificación de abonado, según sus siglas en inglés, una tarjeta inteligente que sirve para conectarse a la red de telefonía del proveedor de servicios, conocida coloquialmente como «chip»), un actor malicioso puede verificar un número de teléfono en otro dispositivo.
La persona que intenta clonar el chip primero necesita que la SIM original deje de ser válida, ya que no es posible tener el mismo número activado en varios dispositivos. Para lograr que la información de la SIM se elimine, el hacker utiliza técnicas de engaño e ingeniería social para comunicarse con la empresa proveedora de servicios y denunciar una supuesta destrucción o extravío de la tarjeta.
Ahora, el proveedor del servicio de telefonía necesita verificar la identidad de quien hace la denuncia. Este es uno de los primeros exploits de la operación. Por un lado, las empresas no suelen verificar fehacientemente la identidad y, por el otro, muchos de los datos de personas públicas (como número de documento, domicilio, nombre completo) son de fácil acceso. En resumen, no es difícil engañar a un operador para que acceda al pedido de transferir la cuenta a otra tarjeta SIM ya que la anterior está, en teoría, en desuso.
Facebook en alerta: aseguran tener tus videos íntimos, pero en realidad es una estafa
La gran estafa financiera en la que todos caen y que fue bautizada como «La Matanza de los Cerdos»
Una vez que la empresa mueve los datos de conexión a otro chip, el aparato que tenga ese chip pasará a ser reconocido por los servicios y las aplicaciones como el dispositivo dueño de ese número. Es un proceso similar a cuando cambian un teléfono y se trata de activar WhatsApp en otro aparato: la aplicación envía un mensaje de texto al dispositivo que tenga la SIM asociada al número de teléfono que, a su vez, hace de identificar de cuenta de WhatsApp.
Los atacantes se hacen con el nuevo chip de diversas maneras. Pueden retirarlo en persona desde la oficina que la empresa de telecomunicaciones indique, puede enviarse como encomienda, entre otras opciones. Si Telegram detecta que el número de teléfono que tiene el dispositivo está vinculado a una cuenta en la aplicación, el cerco de seguridad pierde casi toda su eficacia. Para la aplicación, se trata simplemente de un cambio de equipo por parte del usuario. Es un punto ciego en la tecnología a menos que se tomen medidas especiales de seguridad.
En este caso, según trascendidos, D’Alessandro habría denunciado en la Justicia porteña que su identidad fue robada a través de este método. En el acta constaría que la empresa Telefónica habría provisto la información necesaria sostener la acusación del funcionario. La empresa explicó a El Cronista que no hace declaraciones a la prensa respecto a este tema.
Bitcoin en picada: se vive un infierno con una caída del 46% en todas las inversiones
¿HACKEO U OPERACIÓN?
Marcelo D’Alessandro
En primera instancia, cabe aclarar que las operaciones de SIM Swapping son diferentes a otros tipos de hackeo. Este tipo de ataques son mucho más complejos tanto en logística como en inteligencia.
Tómese como ejemplo una operación típica de phishing, donde los atacantes usan grandes bases de datos con un mensaje automatizado que intenta lograr que un usuario desprevenido clickee en un enlace malicioso. Estos ataques, por su propia naturaleza, son masivos y usan un mismo «gancho» genérico para todas las posibles víctimas (como puede ser la promesa de un premio si se ingresan datos a un sitio web).
En cambio, el SIM Swapping es dirigido: se necesita tener información específica sobre la víctima para poder engañar con eficacia al operador del servicio de telefonía. Además, los atacantes tienen que hacerse físicamente con la tarjeta SIM o engañar a la víctima específicamente para que apruebe la activación de la SIM.
Es un trabajo artesanal, de precisión quirúrgica, a diferencia del trabajo de brocha gorda de los engaños masivos de phishing. Es decir, no es descabellado pensar que esta operación fue dirigida exclusivamente a D’Alessandro, lo que reforzaría la hipótesis de una operación de espionaje.
El IBEX 35 cortó con la racha alcista y volvió a cerrar en baja este lunes 9 de enero
Sin embargo, otros datos apoyan la hipótesis contraria. Una de las defensas del entorno del funcionario porteño es que muchos de los chats están falsificados. De hecho, Waldo Wolff recientemente intentó demostrar en televisión que no es difícil hackear chats. Pero Wolff solo demostró como adulterar un chat creando una cuenta que parezca otra (simplemente cambiando los nombres de las cuentas que mantienen la conversación).
En el caso D’Alessandro, la enorme cantidad de chats filtrados es sencillamente muy difícil de imitar. En el sitio https://dalessandrochats.com/ se puede ver una muestra de 5 chats con más de 1500 mensajes. Entre los chats, aparecen nombres propios, capturas de pantalla, fechas y horarios. Esta información es fácilmente comprobable. No parecen ser el resultado de una fabricación artificial.
Que quede bien en claro: acá hubo hackeo, manipulación y montaje. Todo junto. Ya los conocemos, son los mismos de siempre. La única forma que saben hacer política es mediante operaciones y extorsiones. pic.twitter.com/GaYNdpv9n1
— Marcelo D'Alessandro (@MarceDaless) December 30, 2022
Por último, otro dato que llama la atención es cómo se dio la filtración. El usuario que proporcionó los datos es una cuenta throwaway, es decir, una cuenta descartable. Los sitios de filtraciones como Breached.vc funcionan con un rígido sistema de reputación: los usuarios nuevos son vistos con recelo y los filtradores de información tienen que ganarse su reputación (específicamente, aportando valor al sitio con filtraciones interesantes).
Llama la atención que el usuario que hizo la filtración se unió al foro el mismo día de la filtración y su última conexión data del 6 de diciembre del año pasado. Además, el post con la filtración fue eliminado un tiempo después de su creación (presumiblemente por el propio autor o por los moderadores del sitio).
La información no apunta a una causa específica y la investigación todavía sigue en curso. Quedará en manos de la Justicia discernir cuál es la naturaleza y objetivo de la filtración.