Esta semana, cuatro sospechosos fueron arrestados en Brasil por piratear más de 1,000 cuentas de Telegram, incluidas algunas propiedad de funcionarios del gobierno brasileño, como el presidente de Brasil, Jair Bolsonaro, el ministro de Justicia, Sergio Moro, y el ministro de Economía, Paulo Guedes.
Otros políticos de bajo rango, como la congresista Joice Hasselmann, un aliado clave del presidente Bolsonaro y el ministro Moro, también afirmaron haber sido blanco a principios de esta semana.
Según documentos judiciales, los cuatro usaron un truco de piratería relativamente desconocido para vincular las cuentas de Telegram de las víctimas a sus teléfonos.
Los medios locales informaron que los piratas informáticos utilizaron el acceso a las cuentas para enviar mensajes de spam con enlaces maliciosos a los contactos de los usuarios. Sin embargo, el grupo también parece haber dirigido y secuestrado cuentas de políticos locales, de donde se cree que han filtrado mensajes personales.
LA INVESTIGACIÓN COMENZÓ DESPUÉS DE QUE SE FILTRARON LOS MENSAJES DE TELEGRAM
Las autoridades brasileñas afirman que algunos de los mensajes llegaron a los periodistas en The Intercept luego del hackeo del ministro de Justicia Sergio Moro, quien afirma que tuvo lugar el 5 de junio.
El sitio de noticias en línea, en asociación con otros medios de comunicación locales importantes, comenzó a publicar una serie de historias cuatro días después basadas en mensajes de Telegram que Moro había intercambiado con Deltan Dallagnol, un fiscal de la Operación Lavo Jato, (o Autolavado), una investigación criminal en curso sobre acusaciones de corrupción y lavado de dinero que condujo al arresto de varios empresarios y políticos locales de alto perfil, especialmente el ex presidente Luis Inácio Lula da Silva.
Visto como un héroe imparcial anticorrupción por algunos y como un cruzado antiizquierdista por otros, la credibilidad de Moro ha sido puesta en duda ya que los intercambios de Telegram sugieren que él, mientras todavía era juez, instruyó a los fiscales en el juicio de Lula, que está en contra Ley brasileña. La sentencia de prisión eliminó a Lula de la carrera presidencial del año pasado , después de lo cual Bolsonaro nombró a Moro como Ministro de Justicia.
Moro, quien inició la investigación de la Operación Lavo Jato, afirmó que los mensajes no mostraban ningún delito, y que solo eran consejos para el fiscal que se hizo cargo del caso.
Una investigación criminal se puso en marcha, de cualquier manera. Los cuatro arrestos anunciados esta semana son el resultado de la investigación del gobierno brasileño sobre la fuente de esas filtraciones.
Los nombres de los cuatro presuntos hackers son: Danilo Cristiano Márquez (33), Walter Delgatti Neto (30), Judy Gustavo Henrique Elias Santos (28) y Suelen Priscilla de Oliveira (25), la esposa de Santos.
Los cuatro fueron arrestados con una orden temporal de cinco días, pero no han sido acusados oficialmente. Los investigadores dijeron que encontraron alrededor de 600,000 reales brasileños (~ $ 160,000) en una de las cuentas bancarias del pirata informático, que el sospechoso no pudo justificar en función de sus ingresos.
En respuesta a los arrestos, el fundador de The Intercept, Glenn Greenwald, proporcionó a la revista brasileña Veja un intercambio con su propia fuente, quien negó tener algo que ver con el incidente de secuestro de la cuenta de correo de voz de Telegram. Greenwald le dijo a Veja que el primer contacto con la fuente tuvo lugar un mes antes de que Moro afirmara haber sido pirateado.
«No somos hackers novatos, el [pirateo del correo de voz] no es coherente con nuestra forma de operar: accedemos a Telegram con el objetivo de extraer conversaciones y hacer justicia, revelando la verdad a las personas«, agregó.
EL TRUCO DE SECUESTRO DE LA CUENTA DE CORREO DE VOZ
La técnica de pirateo utilizada por los cuatro presuntos autores, como se describe en un documento judicial (link en PDF) que condujo a su arresto, fue documentada por primera vez en 2017 (link en Hebreo) por Ran Bar-Zik, un desarrollador web israelí en Oath.
Mientras Bar-Zik mostró el ataque contra una cuenta de WhatsApp, un año más tarde, en 2018, el investigador de seguridad Martin Vigo amplió esta técnica (cracker de correo de voz), mostrando cómo los atacantes podían usar las cuentas de correo de voz para secuestrar cuentas en otros proveedores de servicios, como Facebook, Google, Twitter, WordPress, eBay o PayPal. Aparentemente, esta técnica también funciona con las cuentas de Telegram.
La mayoría de los servicios de mensajería instantánea (IM) de hoy en día permiten a los usuarios recibir códigos de acceso únicos por SMS, pero también como un mensaje de voz.
La idea general detrás de este truco es que los usuarios de aplicaciones de mensajería instantánea que tienen habilitado el correo de voz para sus números de teléfono están en riesgo si no cambian la contraseña predeterminada de la cuenta del correo de voz, que en la mayoría de los casos tiende a ser 0000 o 1234.
Bar-Zik descubrió que si el número de teléfono está ocupado con otra llamada, o si el usuario no contesta su teléfono tres veces seguidas, el código de acceso único enviado por mensaje de voz finalmente se redirige a la cuenta de correo de voz del usuario.
Según las autoridades brasileñas, los cuatro piratas informáticos instalaron aplicaciones de Telegram en sus teléfonos, pero ingresaron el número de teléfono de políticos de alto perfil cuando se autenticaron.
Solicitaron mensajes de correo de voz para el proceso de autenticación, mientras llamaban a los teléfonos de los objetivos, para asegurarse de que el código de acceso único ingresara en la cuenta del correo de voz.
Luego, los cuatro usaron proveedores de VoIP para imitar el número de teléfono del objetivo, llamado servicio de correo de voz de la empresa de telecomunicaciones, usaron una contraseña predeterminada para acceder a la cuenta de correo de voz del objetivo, recuperaron el código de acceso único y vincularon la cuenta de Telegram de la víctima a su dispositivo, obteniendo así acceso a la cuenta y su historial de mensajes.
Esta es la primera vez que este truco de secuestro de correo de voz se ha utilizado contra objetivos de alto perfil. La técnica no ha sido utilizada ampliamente por grupos criminales hasta ahora.
En medio de las consecuencias de los mensajes filtrados, los informes locales sugieren que el presidente Bolsonaro finalmente está considerando usar un teléfono móvil encriptado proporcionado por la Agencia de Inteligencia de Brasil (Abin).
Hasta el momento, Bolsonaro y sus ministros habían estado presionando para hacerlo debido al uso intensivo de las redes sociales , lo que no sería posible con los dispositivos Abin. Para la comunicación instantánea entre los usuarios de los dispositivos que proporciona, la agencia ha desarrollado la aplicación Athena, con contenido protegido por la plataforma de cifrado portátil PCPv2.
Otro lugar donde el secuestro de correo de voz ha sido popular es en Israel, donde la Autoridad Nacional de Seguridad Cibernética de Israel envió una alerta en octubre de 2018sobre un aumento en los ataques que aprovechan este método, instando a los usuarios a cambiar las contraseñas de las cuentas de correo de voz o deshabilitar el correo de voz para números de teléfono móvil en total.