Un informe de siete páginas elaborado por peritos de la Policía Judicial de la Ciudad de Buenos Aires, concluyó que la filtración de conversaciones del teléfono del exministro de seguridad porteño, Marcelo D´Alessandro, se realizó a través de una técnica de hackeo conocida como SIM Swapping, que consiste en tomar el control de una línea telefónica desde otro dispositivo, sin el consentimiento de su titular.
Esto es posible, según lo que describe el informe al que accedió Infobae, realizando un trámite ante la empresa prestadora del servicio, alegando robo o pérdida del teléfono, y utilizando información de la víctima, como su DNI, domicilio y hasta datos generales de su familia, lo que suele estar disponible en bases de datos públicas. Conseguido esto, se puede acceder a las aplicaciones de mensajería que el usuario utilice, como Telegram o Whatsapp.
El estudio fue elaborado por la Unidad Especializada en Delitos y Contravenciones Informáticas del departamento científico de la Policía Judicial, y lleva la firma del perito Marcos Vassani. Fue requerido por el Ministerio Público de la Acusación de la Ciudad de Buenos Aires luego del impacto político que generó la ventilación de chats que corresponderían a funcionarios del gobierno porteño y el Poder Judicial.
El informe elaborado por la Policía Judicial sí brinda una explicación respecto de cómo fue hackeado el teléfono personal de D´Alessandro.
En efecto, explica que el primer paso utilizado por los atacantes es realizar un trabajo de inteligencia sobre la víctima. El mismo consiste en reunir información personal, como el número de documento, el domicilio, empleos y hasta información general de familiares.
Una vez obtenidos estos datos, es posible iniciar la maniobra para duplicar la línea telefónica de la víctima, activándola en un nuevo dispositivo. Se conoce como SIM Swapping, y también con expresiones como SIM Splitting, SIM Jacking o SIM Hijacking. “Implica la transferencia del control de las operaciones móviles de una tarjeta SIM existente a otra, sin el consentimiento del usuario”, según explica el informe del organismo porteño.
Esto es posible cuando el atacante, munido de los datos personales de su víctima, se comunica con la empresa de telefonía alegando robo o pérdida del equipo, y solicita que se reasigne la línea a la nueva tarjeta SIM, que está en su poder.
“La empresa prestataria requiere la respuesta correcta de cinco preguntas, cuyas respuestas pueden encontrarse en bases de datos públicas, como NOSIS o VERAZ”, explica el informe técnico. Esta sería la maniobra que habrían ejecutado sobre el teléfono celular de D´Alessandro.
Una vez obtenido el control la línea, es posible descargar las aplicaciones de mensajería que utiliza el usuario hackeado, como Telegram o Whatsapp. Cuando la app es descargada en el nuevo teléfono, requiere para su instalación un código que normalmente es enviado por mensaje de texto (SMS). Como los atacantes tienen el control de la línea lo pueden recibir para luego ingresarlo. A partir de allí ya cuentan con acceso al historial de mensajes en la aplicación.
Por otra parte, el trabajo explica que hay dos formas de protegerse frente a un ataque de SIM Swapping. La primera es la activación de la función “Verificación en dos pasos”, que agrega un aviso extra, que puede ser enviado por mail, para el usuario cuando su perfil se está registrando en un nuevo dispositivo.
La segunda manera de protegerse es observar dentro de las opciones de la app la cantidad de dispositivos vinculados. Si el usuario observa un dispositivo extraño puede eliminarlo.
En el caso de Telegram, además, una forma de protegerse frente a la duplicación del historial de conversaciones es activar la función “Chat Secreto”. Esto permite que el contenido del chat se vea únicamente en los dos dispositivos en los que se produjo el intercambio, ya que los mensajes de Chat Secreto no se alojan en servidores.
El informe dirigido por el perito Varani explica que no es posible determinar en qué momento se produjo el ataque contra el teléfono del ex ministro de seguridad porteño, por lo que no emite juicio respecto de si D´Alessandro podía haber tomado las precauciones mencionadas.