Puedes perder el acceso a tu cuenta de Telegram sin contraseñas ni códigos de verificación

Los cinberdelincuentes han desarrollado un script de PowerShell que secuestra sesiones de Telegram y les permite a los atacantes acceder a las cuentas sin contraseñas ni códigos de verificación. A continuación, te contamos cómo funciona y cómo mantenerse a salvo.

Cómo utilizan los scripts de PowerShell para robar cuentas de Telegram

Existen decenas de formas de acceder a la cuenta de Telegram de una persona. Hemos tratado en numerosas ocasiones el tema del phishing en las miniaplicaciones de Telegram, las estafas con bots, los regalos y los sorteos, así como muchas otras tácticas. Hoy vamos a analizar otro método más de secuestro de cuentas, uno que se basa en un script de PowerShell.

El script, cuyo nombre engañoso es “Actualización de telemetría de Windows”, sirve en realidad como herramienta para secuestrar sesiones de Telegram. Recopila datos de ordenadores totalmente desprotegidos y los envía a los atacantes a través de un bot de Telegram.

Un script malicioso que contiene un stealer

Los atacantes con frecuencia confían en los scripts de PowerShell para descargar malware o recolectar datos de manera encubierta. Esta vez, los investigadores descubrieron un script en Pastebin que se hacía pasar por una actualización rutinaria de Windows. En realidad, era un infostealer diseñado para secuestrar datos de sesión de Telegram para Windows y permitir que los pciberdelincuentes se apoderaran de cuentas sin contraseña ni código de verificación.

¿Qué es, en realidad, un script de PowerShell? Piensa en él como un archivo de texto lleno de comandos para un ordenador con Windows. En lugar de que una persona tenga que perder tiempo haciendo clic manualmente en cada tarea, el ordenador sigue estas breves instrucciones para hacerlo todo automáticamente en cuestión de segundos.

Este script de PowerShell roba los datos de sesión de Telegram para Windows, lo que les permite a los ciberdelincuentes secuestrar cuentas sin necesidad de contraseñas ni códigos de verificación.

Este script de PowerShell roba los datos de sesión de Telegram para Windows, lo que les permite a los ciberdelincuentes secuestrar cuentas sin necesidad de contraseñas ni códigos de verificación.

Justo al principio del script, los investigadores detectaron enseguida un token de bot de Telegram y un ID de chat, además de varias referencias a la carpeta tdata. Esta carpeta específica es donde Telegram para Windows guarda las claves de autorización utilizadas para iniciar sesión en sus servidores. Si los atacantes consiguen estos datos, pueden acceder a la cuenta de Telegram de la víctima sin necesidad de contraseñas ni códigos de verificación. Una vez dentro, siguen teniendo acceso hasta que la víctima comprueba sus sesiones activas en la app y cierra manualmente las que le parezcan sospechosas.

Cómo funciona el stealer

El malware se cuela en el ordenador de la víctima camuflado como un script de PowerShell para una actualización de telemetría de Windows. En cuanto se ejecuta, recopila información básica del sistema: nombre de usuario, nombre de host y dirección IP pública. Luego, comprueba si tienes instalado Telegram Desktop. Si es así, el script obliga a la aplicación a cerrarse para poder desbloquear los archivos de Telegram y poder editarlos.

A partir de ahí, el resto es sencillo: el script comprime todo el contenido de la carpeta tdata en un directorio temporal, envía el archivo comprimido directamente a los atacantes y lo borra del ordenador para ocultar sus rastros.

La buena noticia es que es probable que el stealer aún no haya vulnerado ninguna cuenta, ya que los expertos no encontraron pruebas de que se hayan producido transferencias de datos. Al parecer, los investigadores detectaron este script malicioso de PowerShell cuando aún se encontraba en la fase de pruebas del prototipo.

Otro indicio es su nombre, que resulta sorprendentemente sospechoso. Los ciberdelincuentes suelen utilizar nombres neutrales para ocultar sus bots y aplicaciones. En este caso, cuando los investigadores lo encontraron, el bot se ejecutaba bajo el nombre de usuario afhbhfsdvfh_bot, con una descripción que no dejaba lugar a dudas: Atacante de Telegram. Los investigadores señalaron que, aunque era probable que el bot se hubiera sometido a pruebas funcionales, aún no se había implementado a gran escala, lo que explica el nombre provisional.

Cómo protegerte contra los scripts de PowerShell

Para defenderse de este ladrón anónimo, hay que adoptar un enfoque de seguridad por capas. Para empezar, debemos entender cómo llega un script de PowerShell a tu PC en primer lugar. Normalmente, se cuelan sin que te des cuenta a través de archivos adjuntos maliciosos en correos electrónicos, vulnerabilidades de software, aplicaciones infectadas o trucos de ingeniería social. Por eso, recomendamos instalar un buen paquete de seguridad en tu dispositivo y que tengas mucho cuidado con los enlaces en los que haces clic y los archivos que descargas.

  • Ten cuidado con lo que descargas. Comprueba siempre las páginas web que usas para descargar archivos. Recurre siempre a fuentes oficiales y de confianza, y recuerda que los canales de Telegram y Discord, así como las páginas web poco fiables y efímeras, no encajan en absoluto en esa descripción.
  • Ten cuidado con los enlaces y los archivos adjuntos de los correos electrónicos. Ten en cuenta que el correo electrónico sigue siendo uno de los métodos favoritos de los ciberdelincuentes. Podrían enviarte un script de PowerShell directamente a tu bandeja de entrada como archivo adjunto o engañarte para que hagas clic en un enlace que active una descarga automática.
  • Mantén actualizadas tus aplicaciones y el sistema operativo. Las vulnerabilidades de software surgen de forma inesperada, pero los parches suelen publicarse muy rápido. Recomendamos instalar las actualizaciones tan pronto como estén disponibles. Para simplificar las cosas, activa las actualizaciones automáticas siempre que puedas.

Asegúrate de instalar Kaspersky Premium en todos los dispositivos en los que uses Telegram. Nuestra solución de seguridad bloqueará el malware, los archivos adjuntos maliciosos, el spam, los intentos de phishing y las páginas web sospechosas. La suscripción también incluye un administrador de contraseñas. Genera y almacena de forma segura contraseñas robustas y únicas, evita que introduzcas tus datos de acceso en páginas falsas y resulta muy útil para reforzar la seguridad de Telegram, algo que veremos a continuación.

Cómo proteger tu cuenta de Telegram

Para proteger tu cuenta de Telegram frente a este tipo de engaños que incluyen secuestro de cuentas, te recomendamos lo siguiente:

  • Supervisa de vez en cuando tu actividad en Telegram. Al final, los ciberdelincuentes roban cuentas para enviar spam masivo y llevar a cabo estafas. Es buena idea revisar de vez en cuando tu historial de chat para asegurarte de que no haya aparecido ninguna conversación o mensaje nuevo que no hayas enviado tú mismo.
  • Cierra inmediatamente las sesiones no reconocidas. Si sospechas que has sido víctima de este infostealer o de cualquier otro ciberataque, cierra todas las demás sesiones de Telegram lo antes posible yendo a ConfiguraciónDispositivosCerrar todas las demás sesiones.

Si ya te secuestraron la cuenta de Telegram, tienes un plazo de 24 horas para echar a los atacantes cerrando sus sesiones. En nuestra guía detallada, Qué hacer si hackean tu cuenta de Telegram, te explicamos con todo detalle por qué existe esta regla y te indicamos todas las formas posibles de recuperar tu cuenta.

Mientras tanto, es imprescindible reforzar la seguridad de tu cuenta. Primero, configura una contraseña en la nube yendo a ConfiguraciónPrivacidad y seguridadVerificación en dos pasos. No vale cualquier contraseña: necesitas algo único e imposible de hackear. Recomendamos leer nuestra publicación sobre el tema: Cómo crear una contraseña fácil de recordar.

Mejor aún, pásate a las llaves de acceso, una tecnología sin contraseñas que ofrece una protección de primer nivel contra las filtraciones y el phishing. Para configurar ese método de inicio de sesión, ve a ConfiguraciónPrivacidad y seguridadLlaves de acceso. La forma más fácil de administrar tus llaves de acceso es con Kaspersky Password Manager. Nuestra aplicación multiplataforma te garantiza que puedas iniciar sesión en Telegram sin problemas usando tus llaves de acceso guardadas, tanto si usas Windows, Android, iOS o macOS.

Si quieres saber más sobre cómo los ciberdelincuentes pueden acceder a tu cuenta de Telegram y cómo protegerla, echa un vistazo a nuestras otras publicaciones:

Consejos