En la darknet ha aparecido un anuncio sobre la venta de tres terabytes de datos, supuestamente robados a dos grandes agregadores rusos de SMS, informa SecurityLab. El vendedor afirma que la filtración contiene nombres, números de teléfono, direcciones IP, mensajes de bancos, códigos de activación y otra información confidencial.
Para confirmar sus palabras, el atacante adjuntó un enlace a un sitio de intercambio de archivos y contactos en los mensajeros Telegram, Signal y correo electrónico. Aún no hay confirmación oficial del incidente.
Los expertos señalan que este tipo de ataque representa una amenaza para la cadena de suministro (supply chain) de los servicios digitales. A través de los canales SMS, miles de aplicaciones transmiten códigos únicos, códigos PIN, enlaces para restablecer contraseñas y notificaciones. La interceptación de estos datos abre el camino a la captura masiva de cuentas de usuarios, desde correo y bancos hasta mensajeros y criptoservicios. Un incidente similar en 2022 con Twilio afectó a 163 empresas y alrededor de 1900 cuentas de Signal.
Además del acceso directo a los códigos 2FA, los atacantes pueden enviar mensajes desde nombres de confianza y números cortos (short code / alfa-ID), eludiendo los filtros y creando canales para phishing, fraude y ataques BEC. El acceso a las bases de datos de números, textos de mensajes y metadatos (hora de envío, destinatarios) es valioso para ataques dirigidos, chantaje y vigilancia. Anteriormente, riesgos similares se registraron durante el hackeo de Syniverse y Mitto, cuando miles de millones de mensajes y la posibilidad de rastrear a los usuarios estaban en peligro.
La vulneración de los canales SMS también pone en peligro los sistemas corporativos y administrativos. A través de estos canales, los atacantes pueden atacar los sistemas MFA de los empleados, obtener acceso al correo, los servicios en la nube y CI/CD. En 2024, el incidente con Authy confirmó la vulneración de 33 millones de números a través de un nodo no protegido.
Además de los riesgos técnicos, son posibles consecuencias financieras y de reputación: gastos imprevistos en envíos, multas por incumplimiento de las leyes de protección de datos personales (ФЗ-152, GDPR, CCPA) y una caída en la confianza en los canales SMS para las notificaciones. Por el momento, ni los agregadores, ni los operadores de telecomunicaciones, ni los reguladores han confirmado el hecho de la filtración.
