Tus datos ahora hablan chino: hackers han llevado el robo de perfiles de Telegram a todo el mundo.
Ya no se necesitan virus ni vulnerabilidades para tomar el control.
Los especialistas de la empresa CYFIRMA registraron una nueva ola de ataques de phishing dirigidos a usuarios de Telegram. La campaña está diseñada para parecer lo más verosímil posible y aprovechar los mecanismos legítimos de autenticación del servicio. Gracias a ello, los atacantes obtienen acceso completo a las cuentas sin necesidad de malware ni de explotaciones técnicas.
El ataque se apoya en los procesos legítimos de inicio de sesión de Telegram. Al usuario se le muestra una página que imita la interfaz del mensajero y se le ofrece entrar mediante un código QR o introduciendo el número de teléfono y el código de verificación. En ambas variantes se realizan solicitudes reales al sistema de autenticación de Telegram, pero utilizando parámetros de la API controlados por los atacantes. Tras esto, al teléfono inteligente de la víctima llega la notificación estándar con la solicitud de confirmación del inicio de sesión. Si se concede el permiso, terceros obtienen de inmediato una sesión activa.
Los autores del informe señalan que el elemento decisivo es la ingeniería social. Las páginas falsas acompañan el proceso con indicaciones sobre "verificación de seguridad" o "confirmación de la cuenta". Ese formato reduce la desconfianza y empuja a aceptar la solicitud dentro de la aplicación oficial. Desde el punto de vista técnico, el inicio de sesión parece correcto, por lo que las anomalías son casi imperceptibles.
La infraestructura de la campaña está centralizada y funciona según un patrón. La configuración se carga desde un servidor remoto y permite desplegar rápidamente copias de los sitios en nuevos dominios. Se ha observado soporte multilingüe, incluida la localización al chino. Esto indica la intención de un alcance internacional. Operaciones similares anteriores ya han derivado en el secuestro masivo de cuentas, tras lo cual los perfiles comprometidos se utilizaron para enviar nuevos enlaces a contactos y grupos.
Según las observaciones de CYFIRMA, la actividad actual repite un patrón conocido de reinicio. Cambian las direcciones de los sitios, pero la lógica operativa y los escenarios de engaño permanecen igual. Este enfoque permite restaurar rápidamente la red de trampas tras los bloqueos. En el futuro se espera la ampliación de las versiones lingüísticas y la aparición de nuevas historias relacionadas con la recuperación del acceso y la comprobación de dispositivos.
Los analistas subrayan que cada vez más los atacantes optan por no realizar intrusiones técnicas sino por abusar de las funciones legítimas de la plataforma. Esto dificulta la detección de los ataques y aumenta la probabilidad de un secuestro de cuentas exitoso incluso con la protección adicional activada.