Por qué Telegram se volvió una “herramienta atractiva” para los ciberdelincuentes

Telegram, la aplicación de mensajería con más de 800 millones de usuarios mensuales, se convirtió en una “herramienta atractiva como plataforma de comercialización para los ciberdelincuentes”. Al igual que la deepweb ofrece anonimato, y con la creación de grupos y la activación de la traducción automática, la posibilidad de llegar a un público amplio para venderle desde datos financieros, clonación de tarjetas y hasta servicios de hacking, revelaron especialistas en ciberseguridad.

“Si pensamos cómo alguien se imagina a un cibercriminal, seguro piensa en una persona con capucha en un lugar oscuro que se levanta y dice ‘hoy quiero lanzar un ataque a Facebook’. La realidad no es así, son organizaciones profesionales con motivaciones monetarias en las que hay todo tipo de puestos: desde desarrolladores hasta agentes de venta. Es como un trabajo”, explicó a Télam el investigador en seguridad David González.

Durante el Foro de Seguridad Informática de la compañía ESET, que se desarrolló del 13 al 16 de noviembre en Uruguay, González mostró como tendencia en crecimiento el aprovechamiento de ciertas características de Telegram para el cibercrimen. “No es que Telegram esté hecho para los cibercriminales, sino que éstos aprovechan algunas de sus funcionalidades para obtener una mejor relación costo/beneficio”.

El panorama actual es que una parte de lo antes ofrecían en los foros de la darkweb como canal de venta de productos y servicios ilícitos, hoy también lo distribuyen en grupos de Telegram y les resulta más “práctico”, definió González. Telegram es más sencillo y rápido de usar para los ciberdelincuentes, y además está al alcance de todos. Es como una salida a la superficie desde lo más profundo de internet: la darkweb.
 

David González, investigador en seguridad informática / Foto: Eset

Clearweb, deepweb y darkweb

Para entender la estructura de internet se puede hacer la analogía con un océano. “En la superficie encontramos el internet convencional que se llama ‘clearweb’, donde están los sitios a los que se tiene acceso (sitios indexados) a través de navegadores conocidos, como Firefox o Chrome”, explicó a Télam Martina López, investigadora de seguridad informática en ESET.

Si navegamos un poco más abajo en ese océano encontramos a la “deepweb”, donde están los “sitios, servicios y las aplicaciones a los cuales no podemos ingresar con un buscador tradicional”, detalló López. Enfatizó en que "la deep web suele tener una carga negativa porque se piensa que lo que está ahí es malicioso, pero esto no es cierto”.

Por ejemplo, la intranet de las organizaciones está en la deepweb porque requiere un inicio de sesión especial; y lo mismo sucede con el sitio donde uno modifica su perfil en Instagram.

“La deepweb abarca el 90% de lo que se encuentra en internet y no es sinónimo de malicioso. El concepto por el que fue creada es para proteger la información y garantizar la confidencialidad. De hecho, los gobiernos y las empresas protegen parte de su información en la deepweb para no sufrir ciberataques”, aclaró González.

Lo que sucede es que los ciberdelincuentes aprovecharon esas características de anonimato “para el mal”, resumió.

“Finalmente, lo que está en el fondo del océano es la ‘darkweb’, que forma parte de la 'deepweb', pero acá se incluye la comercialización de productos y servicios ilícitos: desde hacking hasta trata de personas”, subrayó González.

La darkweb solo abarca  “el 1% de la información de internet y tal como en un océano, mientras más profundo se quiera llegar, más difícil será la navegación. Hay foros de cibercriminales a los que se necesita tener una invitación para ingresar y llegar a la darkweb no es sencillo para un usuario convencional”, expresó el especialista.
 

Un ejemplo de "commodity malware" / Foto: Eset

De la darkweb a la superficie

Los cibercriminales se organizan para vender productos y servicios, y uno de sus objetivos es llegar a un público cada vez más amplio, indicaron los especialistas.

De allí surge el concepto “commodity malware”, un tipo de software malicioso que se distribuye de manera masiva, está ampliamente disponible en la web y se puede comprar o descargar fácilmente.

López mencionó que los valores de un “commodity malware” a veces no llegan a los “100 dólares” y el precio va a aumentando de acuerdo a, por ejemplo, la cantidad de víctimas que se quiera alcanzar. 

Entre los productos que ofrecen los cibercriminales están “las familias de malware, los archivos y las bases de datos de entidades gubernamentales, de empresas y plataformas digitales. Y después están los servicios como malware personalizado, alojamiento de malware y campañas de phishing (una técnica de estafa virtual para robar datos confidenciales y conseguir un rédito económico)”, describió González.

“Los canales de ventas del cibercrimen son los foros de la dark web y hoy también los grupos de telegram por ser más prácticos y especialmente por tres principios fundamentales”, contó el especialista.

En primer lugar, Telegram “prioriza la privacidad y seguridad para el usuario, aunque es importante aclarar que esto es relativo porque depende de la configuración que cada persona haga de la aplicación”.

González enumeró que dentro de estas características están el “chat secreto, en donde la información únicamente puede ser leída por el remitente y receptor; la opción de que se pueden eliminar los chats sin dejar evidencia en ambas partes; y que solo se necesite de un nombre de usuario para manejarse dentro de la app de mensajería, ya que el número de teléfono se puede anonimizar u ocultar si se configura de esa manera”. 
 

Martina López, investigadora en seguridad informática / Foto: Eset

Ahora bien ¿son realmente anónimos los chats en Telegram? “La respuesta es relativa”, explicó a Télam el investigador en seguridad informática de Eset Mario Micucci.

“Todo va a depender de cómo es usada y configurada la aplicación. Además, Telegram tiene una función que es la posibilidad de encontrar personas cerca, que las bandas cibercriminales puede usar para dirigir su ‘comercio’ en una determinada zona. Sin embargo, la funcionalidad de geolocalización va en contra del anonimato”, señaló Micucci.

Una cuestión técnica también es que la seguridad que ofrece el “cifrado de extremo a extremo” en Telegram solo está disponible en los chats secretos, mientras que en WhatsApp sí se incluye en todos los mensajes. Además, más allá de que en ambas aplicaciones se puedan eliminar los mensajes, no se sabe con total certeza dónde va o quién tiene esa información, explicaron los especialistas durante el foro. 

Sin embargo, hay otros dos motivos por los que Telegram sigue siendo elegida, continuó González,  y uno de ellos es la posibilidad de crear “grupos (que pueden tener hasta 200.000 miembros cada uno) y programar bots dentro de éstos que les permitan a los ciberdelincuentes automatizar algunos procesos”.

En este sentido, si tienen muchas solicitudes para ingresar a un grupo pueden programar un bot que orienten a esos nuevos miembros sobre lo que estén buscando, ejemplificó. 

Y en tercer lugar porque en Telegram “el idioma ya no es un impedimento ya que se puede añadir la función de traducción en los chats”, completó González. 
 

Grupos de venta de Telegram para el cibercrimen / Foto: Eset

La dinámica en los grupos

La dinámica en los grupos cibercriminales es “similar a la de cualquier otro canal de venta: ofrecen productos y servicios, su valor y luego hay retroalimentación por parte de los miembros, con emojis, reacciones y reseñas”, describió.

Algunos grupos de cibercriminales también publican "un video concepto, muy sencillo de un minuto y medio, en el que ponen la pantalla negra, el tipo de código malicioso que están usando, cómo les llega la información de la víctima y en dónde se guarda. De esta manera enganchan a sus potenciales clientes", amplió González. 

“Hay mucha competencia entre estos grupos de cibercriminales sobre los paquetes que ofrecen, pero lo que se destaca mucho es el feedback (reseña) de quienes ya utilizaron el servicio, tal cual como pasa con una plataforma de marketplace: “el servicio me sirvió”, “me llegó en buenas condiciones”, son reseñas valoradas por quien quiere comprar el servicio o producto", añadió.

Dentro de los foros de la darkweb donde se manejan, “los ciberdelincuentes anuncian sus canales de Telegram para una mayor garantía o contacto directo”.
 

Contacto para hacer denuncias

Más allá de las investigaciones que están llevando a cabo las autoridades sobre estos temas, las personas "como con cualquier otro delito puede denunciar de forma online o presencial", declaró a Télam Horacio Azzolin, fiscal general de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).

"Es importante que identifiquen bien el grupo y los usuarios que quieren denunciar, y que muestren concretamente la actividad que denuncian", amplió el fiscal. 

Si fuiste víctima de un delito informático, tenés diferentes alternativas en todo el país tanto para solicitar asesoramiento o presentar una denuncia. En este sitio se puede encontrar  un mapa de fiscalías de acuerdo a la zona. 

Está la línea 137 (las 24 horas, los 365 días del año) para información, asesoramiento sobre derechos o denuncias de grooming, abuso y trata. Además, si está la sospecha de que un niño, niña o adolescente es víctima de grooming o explotación sexual. La comunicación también puede ser WhatsApp al 11-3133-1000.

En el Ministerio Público Fiscal- Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) se puede denunciar el grooming o cualquier otro delito informático. Está ubicado en Sarmiento 663, Piso 6, Ciudad Autónoma de Buenos Aires y sus medios de contacto son (54-11) 5071-0040 o denunciasufeci@mpf.gov.ar