AtaquesDatos y privacidad.Nacionales

Así usan delincuentes la infraestructura de Claro para obtener datos privados y generar estafas

Varios miembros de la comunidad de ciberseguridad en Latinoamérica investigaron y compartieron evidencias sobre cómo actores delincuenciales habrían vulnerado la infraestructura técnica de Claro.

Gracias a estas fallas de seguridad y abusos a la infraestructura web, los atacantes obtuvieron acceso a información privada de clientes, como nombres, apellidos y montos de facturas, entre otros. Esos datos ya están siendo utilizados para realizar llamadas y presionar pagos en portales y para robar y desocupar cuentas bancarias.

Las evidencias recolectadas por los investigadores indican que con los datos obtenidos ilegalmente, los delincuentes digitales engañan a sus víctimas, quienes terminan entregando más información a los estafadores.

La capacidad técnica desarrollada para cometer estafas es tal, que literalmente pueden vaciar una cuenta bancaria, como le sucedió a una víctima que relató su experiencia en su cuenta de TikTok.

Las investigaciones también revelan el aparente desinterés de Claro Colombia por mantener segura la información de sus clientes.

Analizar cómo ocurren estas estafas y advertir a los usuarios no debería ser tarea de aficionados a la ciberseguridad, sino una política privada regulada y supervisada por el Estado, que hasta el momento ha hecho poco o nada para detener esta situación.


El servicio de CL4R0 CH3CK3R

El investigador Germán Fernández descubrió una herramienta llamada CL4R0 CH3CK3R. Este aplicativo explota una falla del sistema de Claro, permitiendo ingresar una lista de números telefónicos para confirmar si pertenecen a la compañía y obtener el monto de la factura.

Aplicativo que permite verificar si un número es de Claro. Foto de German Fernández.

“Con esa información, los delincuentes envían miles de mensajes de texto maliciosos a clientes reales”, concluye.

German Fernandez, experto en ciberseguridad

La herramienta, desarrollada por @don Sebastian, estuvo alojada en el sitio web https://www.portal-fac.site/ y fue indexada por Google, lo que sugiere que estuvo activa generando listas de números telefónicos junto con el monto de las facturas.

Asi se ve la herramienta en el cache de Google que la indexó.

Hoy en día es posible acceder a listas masivas de números gracias a la filtración de millones de datos privados que se encuentran en foros y sitios web ilegales. En uno de los foros más populares, se pueden adquirir listas completas de lo que, según los vendedores, son clientes de Claro.

Fernández también indicó que los atacantes pueden crear listas aleatorias de números siguiendo un patrón. Estas listas se generan automáticamente y luego CL4R0 CH3CK3R ayuda a filtrar e identificar números reales.

El tipo de ataque descrito por Fernández incluye un panel de control desde el cual el atacante puede medir y verificar los resultados de la estafa. Gracias a este “comando central” los atacantes pueden solicitar datos adicionales como códigos OTP, correos electrónicos, contraseñas, tarjetas de crédito, entre otros.

Este es el comando central de operaciones de los atacantes. Desde acá monitorean los resultados de sus campañas estafadoras.

Este tipo de ataque explica al menos cinco testimonios de estafas recibidos en MuchoHacker.lol, donde las víctimas no entienden cómo alguien pudo vulnerar sus claves.

A pesar de que las víctimas presentan quejas ante plataformas como Nequi o bancos, suelen perder, ya que las entidades financieras alegan que sus sistemas no fueron vulnerados.


Datos expuestos por todas partes

La investigación de Fernández no es la única. Otro investigador, bajo condición de anonimato, compartió con MuchoHacker.lol los resultados de su indagación.

Este experto encontró que sitios web como https://freya.claro.com.co carecen de medidas de seguridad adecuadas y exponen los datos de sus clientes.

En un ejemplo específico, un simple cambio en la URL generada por el aplicativo daba acceso a cientos de datos de clientes.

MuchoHacker.lol verificó que información como dirección, teléfono y nombre de los clientes estaba expuesta sin ningún tipo de protección.

“Creé un script sencillo para procesar esos datos. En un solo ejemplo obtuve 5.695 registros”, explicó el analista, quien proporcionó una lista de datos como prueba de su acceso.

La ausencia de medidas de seguridad mínimas es, según este experto, inexplicable. “No hay ni un WAF ni un captcha”, se queja.

Se refiere a que el portal debería contar con un Web Application Firewall (WAF), una herramienta de seguridad que protege aplicaciones web filtrando y monitoreando el tráfico HTTP entre una aplicación y el usuario.

“El nivel de seguridad es nulo”, concluye.


Medidas de seguridad mal implementadas

Otro experto en ciberseguridad proporcionó evidencia sobre cómo se comercializa la herramienta CL4R0 CH3CK3R en el mercado negro. Coincide con Fernández en que los atacantes generan secuencias aleatorias de números que luego filtran y confirman.

Pero no solo esto. Existen canales en Telegram donde se vende acceso a herramientas de estafa donde los delincuentes muestran en videos subidos a Tik Tok los resultados de sus operaciones.

Además, indicó que los atacantes pueden crear un script en Python para enviar solicitudes a la infraestructura de Claro, sorteando la débil implementación de seguridad del Captcha, que según el experto, está mal configurado.

“El Captcha que usan debería evitar bots, pero como no funciona correctamente, el servidor responde con la información de la víctima”, agrega.

“Más que una vulnerabilidad, es un abuso de la plataforma”, señala. “La página de consulta de saldos no debería permitir tantas solicitudes desde un mismo cliente. Actualmente lo permite”, concluye.


Estos tres ejemplos presentados por los expertos son solo una muestra de las múltiples formas en que se puede vulnerar la seguridad de Claro y obtener datos privados de sus clientes.

Como obligación editorial, MuchoHacker.lol intenta consultar a las fuentes involucradas, incluyendo a Claro. Sin embargo, en este caso, se omitirán las consultas debido a la falta de respuestas en oportunidades anteriores. Si alguien de la empresa desea ofrecer su opinión sobre estas denuncias, puede comunicarse con MuchoHacker.lol.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *