así funciona y así puedes evitar el fraude que vacía cuentas bancarias

Si tu celular pierde cobertura, teme: a Nuevo fraude telefónico conocido como ‘SIM swapping’ Está siendo utilizado por un atacante cibernético para duplicar nuestro número de teléfono y usar ese sistema para usurpar nuestra identidad, autenticarse con nuestro banco y robar todo nuestro dinero.

Ya hay víctimas de fraude que se ha utilizado para otros fines: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta de servicio con ese mismo sistema, lo que una vez más revela la debilidad de mecanismos como los mensajes SMS para sistemas de autenticación de dos factores. Originalmente eran una buena opción, pero como decíamos en el pasado, es mucho más recomendable utilizar aplicaciones de autenticación independientes, y no SMS, que son cada vez más vulnerables en este ámbito.

Cuidado, esta historia de terror te puede pasar a ti

En El País informaron recientemente de un caso en el que un usuario se quedó repentinamente sin cobertura. Apagó el teléfono, lo volvió a encender y nada. Cuando regresó a su casa, llamó a su operador desde otro celular y resultó que alguien se habia hecho pasar por el para solicitar un duplicado de su tarjeta SIM en una tienda del operador en otra ciudad.

Eso alertó al usuario, quien rápidamente fue a revisar su cuenta bancaria y descubrió que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía solicitado un préstamo a su nombre por valor de 50.000 euros. Un auténtico desastre que, según responsables de la Guardia Civil, responde a la perfección a esta tendencia al alza de casos de intercambio de SIM.

READ  Xiaomi Black Shark 3 y Black Shark 3 Pro, características, precio y ficha técnica

Este es el tiempo que le tomaría a un pirata informático forzar su contraseña, pero no termina ahí

Ayer surgió un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) narra hechos muy similares. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “habían vaciado mi cuenta corrienteen el Banco Santander.

Alguien había duplicado su línea de móvil y con el SMS de confirmación había hecho varias transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta. tras varias horas hablando por teléfono con ellos, aunque se quejó de la mala respuesta de su operadora, a la que criticó por las pocas medidas de seguridad exigidas a quienes solicitaban un duplicado de tarjeta SIM.

Hay dos problemas claros aquí: primero, que solicitar un duplicado de SIM es relativamente sencillo. Segundo, que el uso de SMS como sistema para proponer la autenticación en dos pasos o dos factores (2FA) ha sido vulnerable a varios ataques durante mucho tiempo, y este es solo el último -pero probablemente el más preocupante- de todos. a ellos. .

El intercambio de SIM le permite hacerse pasar por cualquier persona, incluido el CEO de Twitter

Esta técnica permite eludir las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso, como hemos visto en el ámbito económico, pero también en muchos otros escenarios.

Quedó demostrado estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó de repente su cuenta de Twitter (@Jacobo) aparecen mensajes ofensivos y racistas que luego fueron eliminados.

READ  Xiaomi Mi A1, características, precio y ficha técnica

Cómo activar la verificación en dos pasos en Google, Facebook, Twitter, Instagram, Microsoft y WhatsApp

El problema se debió a que el robo de identidad que provocó una operadora telefónica en Estados Unidos -no se especifica cuál- permitió al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió a este atacante use la función de publicar en Twitter a través de mensajes SMS que era una de las características originales del servicio.

mensajes ofensivos provocó una reacción inmediata en Dorsey, quien anunció que Twitter estaba deshabilitando el envío de mensajes a la plataforma vía SMS.

La solución está en nuestras manos (pero también en la de los operadores y bancos)

Como decíamos antes, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras bien diferenciadas, ambas con su propia solución interdependiente: si ambos no se resuelven, el problema seguirá presente.

Llave

El primero son quienes manejan esta información, los operadores, quienes deberían ser mucho más exigentes a la hora de brindar duplicados de tarjetas SIM. Las verificaciones de identidad aquí deben ser exhaustivas. para evitar los problemas que han ocurrido con estos casos.

FIDO2, así es el estándar que quiere que te olvides de las contraseñas en tu móvil

Los bancos, las entidades financieras y cualquier otra plataforma que siga utilizando el SMS como sistema de autenticación en dos pasos también tienen deberes pendientes. Es un método popular y cómodo, pero como hemos visto, hace tiempo que es muy vulnerable, tal y como apunta el experto en seguridad Bruce Schneier. Es por esta razón que todas estas empresas deberían erradicar los SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendadas ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Autenticador de Microsoft, Autenticador de Google o Authy Son de las más conocidas, y si las podemos utilizar -la plataforma con la que trabajemos debe soportar esa opción- son mucho más seguras que la autenticación por SMS.

READ  La cámara de los iPhone llevaba años decepcionándome. Hasta que llegaron los 48 megapíxeles

dsadas

Aún más interesantes son las teclas U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de claves físicas y cuya última implementación es el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google ha querido entrar recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android también podría convertirse en una llave de seguridad.

Imagen | Andrei Meteleva

Deja un comentario