Un bot de Telegram te vende el acceso a números de móviles robados de Facebook

Asociar la palabra ‘vulnerabilidad’ a la red social Facebook no sorprende ya a estas alturas, pero cada vez que pasa sigue siendo algo grave. Y más cuando hay un descarado ánimo de lucro detrás, como le pasa a un bot de Telegram. Pero pongámonos antes en situación: En 2019, los investigadores de la firma de seguridad Hudson Rock descubrieron que era posible conseguir números de teléfono de los usuarios de Facebook en masa.

Vulnerabilidad en Facebook

Alon Gal, co-fundador y CTO de Hudson Rock, obtuvo una muestra de los datos del bot y se la pasó a la web de expertos de Motherboard. Cuando la web compartió esa muestra con Facebook para que la compañía actuase, la red social dijo que los datos contenían IDs de Facebook que fueron creados antes de que Facebook corrigiera la vulnerabilidad de los contactos. Facebook dijo que también probó el propio bot con datos más recientes, y que el bot no arrojó ningún resultado.

Pero el bot todavía puede presentar un problema significativo para las personas que pueden haber vinculado su número a su cuenta de Facebook antes de agosto de 2019, año en que Facebook ya tenía más de 2.000 millones de usuarios en todo el mundo. Y la facilidad de acceso de este nuevo bot significa que incluso los ciberdelincuentes o hackers poco sofisticados pueden obtener la información. Ahí entra Telegram.

El bot vende-accesos de Telegram

Existe un bot (o cuenta automatizada) de Telegram que asegura tener los números de teléfono de más de 500 millones de usuarios de la red social Facebook, que se filtraron por la vulnerabilidad mencionada que la compañía arregló en agosto de 2019. Según Alon Gal, esos datos están disponibles en un bot de Telegram cuyo autor, que según la web Vice es de “un foro cibercriminal”, permite a quien desee hacerlo ver los números de teléfono robados, previo pago de dinero.

Con esos datos se puede posteriormente acceder a determinadas cuentas de usuario de Facebook. 

Al lanzarse, el bot de Telegram dice: "El bot ayuda a averiguar los números de teléfono móvil de los usuarios de Facebook", según las pruebas de Motherboard. El bot permite a los usuarios introducir un número de teléfono para recibir el ID de Facebook del usuario correspondiente, o viceversa. Los resultados iniciales del bot están redactados, pero los usuarios pueden comprar créditos para revelar el número de teléfono completo.

Un crédito cuesta 20 dólares, con precios que llegan hasta los 5.000 dólares por 10.000 créditos. El bot afirma que contiene información sobre "usuarios de Facebook de Estados Unidos, Canadá, Reino Unido, Australia y otros 15 países". Motherboard probó el bot y confirmó que contenía el número de teléfono real de un usuario de Facebook que intenta mantener este número en privado.


En teoría, la vulnerabilidad de Facebook que filtró los número fue arreglada hace año y medio, pero el problema persiste. Según Gal "es importante que Facebook notifique a sus usuarios sobre esta brecha para reducir las opciones de que sean víctimas de diferentes intentos de hackeo e ingeniería social”.