Recientemente se reveló que grandes volúmenes de archivos conocidos como “combolists” con más de 360 millones de direcciones de correo electrónico están en circulación en Telegram, junto con su respectiva contraseña, como resultado de filtraciones de seguridad.

Telegram es una plataforma de mensajería instantánea que cuenta con características similares a las de WhatsApp, pero que se distingue por sus configuraciones que permiten el anonimato, privacidad y el tráfico de grandes volúmenes de información, lo cual ha propiciado el desarrollo de actividades delictivas y venta de información obtenida de manera ilegal.

¿Qué son las “Combolists”?

Las “combolists” son un conjunto de recopilaciones de nombres de usuario o direcciones de correo electrónico junto con contraseñas asociadas, obtenidas a través de filtraciones, brechas equipos comprometidos principalmente por infostealers (programas maliciosos que extraen información confidencial de los propietarios como contraseñas, datos bancarios, información del sistema operativo y cookies de los navegadores).

Una vez que se extrae esta información, se clasifica según el dominio del proveedor del servicio de correo electrónico, la región geográfica o si está relacionado con algún sector industrial.

¿Qué impacto tienen?

Los atacantes utilizan esas listas para realizar ataques de fuerza bruta y de rellenado de credenciales (credential-stuffing) automático con el fin de obtener accesos no autorizados o información confidencial. Como resultado, se logra tener acceso a cuentas personales o corporativas que podrían contener datos financieros, personales o confidenciales, lo que facilita la manipulación, extracción y aprovechamiento de recursos.

Medidas preventivas:

Como medidas preventivas y una reducción del riesgo en una posible cuenta de correo comprometida se recomienda realizar las siguientes acciones:

Implementar contraseñas sólidas y únicas (por servicio utilizado) que incluyan una combinación de letras, números y caracteres especiales.

Habilitar la autenticación de dos factores en los servicios que lo permitan.

Considerar el uso de programas antivirus y firewalls para proteger los dispositivos y los datos de malware y amenazas cibernéticas.

Monitorear posibles signos de actividad sospechosa como accesos no autorizados o correos electrónicos no solicitados, con el fin de detectar actividad maliciosa.

Evitar la navegación en sitios no seguros y la descarga, instalación y uso de software procedente de fuentes no oficiales o desconocidas.

Revocar los accesos e inicios de sesión que no hayan sido autorizados, realizados o reconocidos.

Las “combolists” pueden ser utilizadas por actores maliciosos para llevar a cabo ataques de fuerza bruta, phishing u otras actividades fraudulentas, por lo que es importante que las personas utilicen contraseñas seguras y únicas para cada cuenta y estén atentas a las noticias sobre posibles violaciones de datos para proteger su información personal en línea.

Referencias:

Adi Bleih (31 enero 2022). Telegram: A Cybercriminal Hotspot – Malware. Cybersixgill. https://cybersixgill.com/news/articles/telegram-a-cybercriminal-hotspot-malware

Troy Hunt. (4 junio 2024). Telegram Combolists and 361M Email Addresses. troyhunt.com. https://www.troyhunt.com/telegram-combolists-and-361m-email-addresses/

Flare (10 marzo 2023). Combo Lists & the Dark Web: Understanding Leaked Credentials. Flare. https://flare.io/learn/resources/blog/combo-lists-the-dark-web-understanding-leaked-credentials/