EE.UU. Las agencias de inteligencia han advertido que los piratas informáticos del gobierno iraní están utilizando activamente la aplicación de mensajería Telegram para infiltrarse y robar datos de disidentes, periodistas y grupos de oposición en todo el mundo. El FBI emitió una alerta pública el viernes que detalla cómo estos actores aprovechan Telegram para implementar malware, obtener acceso remoto a los dispositivos de las víctimas y filtrar información confidencial.
Cómo funcionan los ataques
La operación se desarrolla en dos etapas clave. En primer lugar, los piratas informáticos se hacen pasar por contactos de confianza o soporte técnico para engañar a los objetivos para que descarguen archivos maliciosos disfrazados de aplicaciones legítimas (como Telegram o el propio WhatsApp). Una vez instalado, este malware conecta la computadora de la víctima a bots basados en Telegram, lo que permite a los atacantes controlar el dispositivo de forma remota.
Esto les da a los piratas informáticos acceso para robar archivos, realizar capturas de pantalla e incluso grabar comunicaciones privadas como llamadas de Zoom.
Los atacantes explotan la infraestructura de Telegram porque oculta la actividad maliciosa dentro del tráfico normal de la red, lo que dificulta la detección por parte de las herramientas de ciberseguridad. Esta táctica pone de relieve una tendencia creciente de actores cibernéticos a incorporar operaciones en plataformas de uso común para evadir el escrutinio.
Actividad patrocinada por el estado
El FBI atribuye estos ataques al Ministerio de Inteligencia y Seguridad de Irán (MOIS), enmarcándolos como parte de un esfuerzo más amplio para promover los intereses geopolíticos del régimen. Un grupo hacktivista proiraní vinculado, “Handala”, se ha atribuido la responsabilidad de recientes ataques de alto perfil, incluida una violación disruptiva contra la empresa de tecnología médica Stryker.
Stryker confirmó en una presentación ante la SEC que todavía se está recuperando del ataque, que implicó borrar decenas de miles de dispositivos de los empleados. El Departamento de Justicia de Estados Unidos acusó a Handala de operar como fachada del MOIS, lo que llevó a la incautación de sitios web vinculados a Handala y a otro grupo iraní, “Homeland Justice”. El FBI sostiene que ambos están controlados por los mismos actores estatales.
Respuesta de Telegram
El portavoz de Telegram, Remi Vaughn, afirmó que la plataforma elimina activamente cuentas involucradas con la distribución de malware. Sin embargo, el uso continuo del servicio por parte de estos actores demuestra los desafíos de vigilar dicha actividad a gran escala.
El incidente subraya la naturaleza cambiante de la guerra cibernética patrocinada por el estado, donde plataformas aparentemente inocuas como Telegram se utilizan como armas para facilitar el espionaje y la interrupción. La advertencia del FBI sirve como recordatorio de que los usuarios deben permanecer atentos a las tácticas de ingeniería social y las descargas de software no autorizadas.
