El grupo de ciberespionaje Handala ha vuelto a los titulares tras afirmar, en diciembre de 2025, haber comprometido completamente los teléfonos móviles de figuras políticas de alto nivel en Israel, incluyendo al ex primer ministro Naftali Bennett y al jefe de gabinete Tzachi Braverman. Sin embargo, una investigación de inteligencia ha desmentido el alcance total del ataque, revelando una realidad más técnica y específica: no fue un hackeo de dispositivo, sino un secuestro de cuentas de Telegram.
Realidad vs. Ficción
Handala publicó listas de contactos, fotos, videos y cerca de 1,900 conversaciones como prueba de su éxito. No obstante, el análisis forense de los datos filtrados mostró que:
- La mayoría de las “conversaciones” eran en realidad tarjetas de contacto vacías generadas automáticamente por la sincronización de Telegram.
- Solo unas 40 conversaciones contenían mensajes reales.
- Todos los datos provenían exclusivamente de la infraestructura de Telegram, no del almacenamiento interno del iPhone 13 de Bennett, como afirmaban los atacantes.
Vectores de Ataque: ¿Cómo entraron?
Aunque no lograron el control total del dispositivo, el compromiso de las cuentas de Telegram de funcionarios de alto nivel es grave. Los investigadores sugieren que Handala utilizó una combinación de técnicas para eludir la autenticación:
- Secuestro de Sesión (Session Hijacking): Es probable que los atacantes robaran la carpeta tdata de una sesión de Telegram Desktop en una computadora comprometida. Este archivo contiene los tokens de sesión activos y permite a un atacante clonar el acceso sin necesidad de códigos OTP ni contraseña.
- Ataques a la Infraestructura (SS7/SIM Swapping): Dado el perfil de las víctimas, no se descarta el uso de vulnerabilidades en el protocolo de telecomunicaciones SS7 para interceptar los SMS de verificación, o técnicas de SIM Swapping.
- Ingeniería Social de Buzón de Voz: Una técnica clásica que implica acceder al buzón de voz de la víctima (a menudo protegido por PINs predeterminados) para recuperar el código de verificación que Telegram envía mediante llamada de voz.
El Talón de Aquiles de Telegram
Este incidente pone de relieve las limitaciones de seguridad en la configuración predeterminada de Telegram:
- Falta de E2EE: A diferencia de WhatsApp o Signal, los chats “estándar” de Telegram no tienen cifrado de extremo a extremo por defecto; se almacenan en la nube, lo que facilita la extracción masiva si se compromete la sesión.
- Verificación en Dos Pasos (2SV): La contraseña en la nube es opcional y viene desactivada por defecto. Sin ella, cualquiera que intercepte el SMS de verificación puede tomar el control de la cuenta.
Recomendaciones
- Activar 2FA/2SV: Es imperativo habilitar la “Verificación en dos pasos” (Cloud Password) en Telegram. Esto exige una contraseña adicional al código SMS para iniciar sesión.
- Cerrar Sesiones Activas: Revisar periódicamente en Ajustes > Dispositivos y cerrar cualquier sesión desconocida o antigua.
- Proteger el Buzón de Voz: Cambiar el PIN del buzón de voz de la operadora móvil o desactivarlo por completo para evitar la interceptación de códigos por llamada.
