Cuidado con los ‘bots’ de Telegram: podrían robarte algunas de tus contraseñas

Se trata, sin duda, de una de las mejores aportaciones que tiene Telegram y que la competencia no ha podido siquiera igualar en funcionalidad. Los bots son chats capaces de actuar sin necesidad de que un humano interceda y que realizan tareas automatizadas de todo tipo: desde recordarnos el tiempo que va a hacer, cuándo nos llegará un paquete que estamos esperando o recuperar definiciones de la Wikipedia en un tiempo récord para no tener que acceder al navegador.

Pero como ocurre con cualquier innovación positiva para el usuario, es posible darle la vuelta y utilizarlo con fines oscuros, al servicio de ciberdelincuentes que lo intentan una y mil veces con tal de hacerse con nuestra información más confidencial. Y uno de esos datos que todos buscamos proteger como sea son las contraseñas. Especialmente las de un solo uso que, sobre el papel, solo las podemos conocer nosotros.

¿Qué son las contraseñas de un solo uso?

Muchos hackers se han dado cuenta de que los sistemas de verificación en dos pasos ha vuelto inservible eso de conocer nuestras contraseñas, por lo que buscan ir un paso más allá e intentar conocer cuáles son esos passwords de un solo uso que generan algunas apps de autentificación, o que nos llegan a través de SMS que recibimos en el justo instante de iniciar sesión. Así que algunos bots dentro de la aplicación de mensajería se están actualizando para actuar en ese terreno.

Cuando un hacker encuentra que una cuenta está protegida por un código de un solo uso, si tiene los datos de la víctima podría intentar comunicarse con ella a través de Telegram con un bot, pidiéndole que le dé ese número o clave que acaba de recibir por la vía de una app de autentificación, un SMS, un email, una llamada, etc. Una vez que el usuario entrega esa información (por ejemplo la de un banco), los delincuentes acceden e intentan llevarse la mayor cantidad de dinero en el menor tiempo posible.

A diferencia del phishing por SMS, duplicación de SIM o correo electrónico, este caso de los bots de Telegram es un poco más peligroso porque el usuario podría llegar a pensar que está hablando con algún representante del banco o cualquier otra entidad de la que es cliente, cuando simplemente se trata de un programa informático. Según los investigadores, "los bots muestran que algunas formas de autenticación de dos factores pueden tener sus propios riesgos de seguridad [...] Si bien los servicios de OTP basados en SMS y llamadas telefónicas son mejores que nada, los delincuentes han encontrado formas de diseñar" nuevas amenazas para los usuarios. Y los bots de Telegram son una de ellas.