Varias
operadoras de telefonía con tarjetas de prepago facilitaron secuestros de SIM
sólo pasando un test de autenticación.
Un estudio
de Princeton ha descubierto que cinco operadores de prepago de EE.UU. utilizan
técnicas de autenticación que son vulnerables a tácticas de secuestro de SIM.
Los investigadores crearon 10 cuentas de prepago en AT&T, T-Mobile,
Tracfone, US Mobile y Verizon Wireless. Descubrieron que sólo necesitaban responder
con éxito a una pregunta para verificar su identidad y conseguir que las
compañías cambiaran su servicio a una tarjeta SIM que ya tenían. Ni siquiera
importaba si los otros pasos de autenticación eran incorrectos.
Ese tipo de
técnica de cambio de SIM podría ser utilizada por los atacantes para obtener el
control del número de teléfono de la víctima. Luego pueden usar ese número para
restablecer las contraseñas de la víctima y acceder, por ejemplo, a sus correos
electrónicos y cuentas bancarias.
Para probar
las medidas de seguridad de los operadores, llamaron a las compañías para
solicitar un cambio de SIM y proporcionaron intencionadamente el número de PIN
equivocado para forzar al representante de servicio al cliente a probar otro
método de autenticación. Cuando se les pedía la fecha de nacimiento o el código
postal de facturación del titular de la cuenta, decían que debían haber
cometido un error al registrarse y proporcionado la información incorrecta.
El
representante de servicio al cliente tendría entonces que pasar a un tercer
tipo de método de autenticación, que es pedir sus dos llamadas más recientes.
Fue a través de este método que los investigadores pudieron completar con éxito
los intercambios de SIM. Y eso es alarmante, ya que los atacantes pueden
engañar fácilmente a las víctimas para que llamen a números de teléfono
aleatorios.
Además, los
investigadores examinaron 140 sitios y servicios populares en línea que usan
autenticación telefónica para ver lo que los atacantes pueden hacer con los
números que secuestran. Pudieron restablecer fácilmente las contraseñas de 17
de esos servicios usando sólo las SIM secuestradas, ya que no se les hicieron
preguntas adicionales de autenticación.
Los
investigadores de Princeton proporcionaron una copia de sus hallazgos a los
operadores el año pasado, y T-Mobile les notificó este mes que ya no utiliza
los registros de llamadas como forma de autenticación.
Un portavoz
de T-Mobile le entregó a Engadget la siguiente declaración por escrito: «Nos
tomamos muy en serio la protección de las cuentas de nuestros clientes. Hemos
implementado muchas salvaguardas y realizaremos mejoras continuas a medida que
necesitemos responder a nuevos riesgos». Más recientemente, esto incluyó el
cambio de nuestros procesos de autenticación en las cuentas de prepago de
T-Mobile para evitar el uso de la información del registro de llamadas para la
autenticación».
El
vicepresidente ejecutivo de Verizon, Nick Ludlum, declaró: «Los operadores de
telefonía móvil están comprometidos a proteger a los consumidores y a combatir
los ataques de intercambio de SIM. Continuamente revisamos y actualizamos
nuestras prácticas de ciberseguridad y desarrollamos nuevas protecciones para
los consumidores. Todos tenemos un papel que desempeñar en la lucha contra el
fraude y animamos a los consumidores a utilizar las herramientas destacadas en
este estudio para salvaguardar su información personal».
En
definitiva, esto nos demuestra una vez más que el eslabón más débil en cuanto a
seguridad, es el humano. Esperamos que cuiden más los protocolos que los
técnicos de soporte deben seguir en estos casos.
Más
información:
- Princeton University:https://www.issms2fasecure.com/assets/sim_swaps-01-10-2020.pdf
- ZDNet: https://www.zdnet.com/article/academic-research-finds-five-us-telcos-vulnerable-to-sim-swapping-attacks/
- Engadget: https://www.engadget.com/2020/01/12/princeton-study-sim-swap/