¿Cómo roban números telefónicos e identidades en línea?

26 de septiembre del 2019

Se han apropiado de identidades en línea de políticos, celebridades y personas notables.

¿Cómo roban números telefónicos e identidades en línea?

Cuando hackers se apoderaron hace poco de la cuenta de Twitter de Jack Dorsey, el director ejecutivo de Twitter, usaron una técnica cada vez más común y difícil de detener que puede darles acceso absoluto a una amplia variedad de las cuentas digitales más sensibles, incluyendo cuentas de redes sociales, correo electrónico y financieras.

Llamada SIM swapping, o intercambio de SIM, permite que los hackers tomen control del número de teléfono de una víctima. Se ha usado para apropiarse de las identidades en línea de políticos, celebridades y personas notables como Dorsey, para robar dinero en todo el mundo y simplemente para acosar a gente común y corriente.

Sin importar lo técnicamente sofisticadas que sean, las víctimas no han podido protegerse.

“He analizado la clandestinidad criminal durante mucho tiempo y el intercambio de SIM me molesta más que cualquier cosa que he visto”, dijo Allison Nixon, directora de investigación en la firma de seguridad Flashpoint.

“No requiere habilidad, y no hay literalmente nada que la persona promedio pueda hacer para evitarlo”.

Los delincuentes han aprendido a persuadir a los proveedores de telefonía móvil para que cambien un número de teléfono a un dispositivo nuevo que está bajo su control. El número es cambiado de una diminuta tarjeta SIM, las siglas en inglés de módulo de identidad del suscriptor, de plástico en el teléfono del blanco a una tarjeta SIM en otro dispositivo.

En ocasiones, los hackers consiguen los números telefónicos al llamar a una línea de ayuda de servicio al cliente para una compañía de teléfonos y fingir ser la víctima planeada. En otros incidentes, equipos de hackers han sobornado a empleados de compañías telefónicas para que hagan los cambios por ellos, a menudo por un pago de apenas 100 dólares.

Una vez que los hackers tienen control del número de teléfono, piden a compañías como Twitter y Google que envíen un código de acceso temporal, vía mensaje de texto, al teléfono de la víctima. Pero el código temporal es enviado a los hackers en lugar de la víctima.

Las compañías telefónicas tienen años de estar conscientes del problema, pero la única solución que han ideado es ofrecer códigos de NIP que el dueño de un teléfono debe proporcionar para cambiar de dispositivo. Incluso esta medida ha demostrado ser ineficaz debido a que los hackers pueden conseguir los códigos al sobornar a empleados de una compañía telefónica.

Las pandillas de intercambio de SIM también están tomando como blanco a los dueños de criptomonedas. A diferencia de las transacciones bancarias tradicionales, una vez que se mueve divisa a una nueva dirección, la transacción no puede ser revertida.

A los expertos en seguridad les preocupa que los hackers pudieran usar el método para atacar blancos de mayor valor. Los teléfonos y aplicaciones en las redes sociales de varios políticos brasileños recientemente han sido puestos en riesgo.
Los expertos han recomendado que las compañías dejen de usar los números de teléfono para ayudar a los clientes a recuperar sus cuentas.

“Este es un problema de tecnología porque estamos usando una tecnología muy vieja que no está diseñada para ser segura para enviar códigos de seguridad”, dijo Fabio Assolini, investigador de seguridad en Kaspersky Lab, quien perdió su propio número telefónico en un ataque de intercambio de SIM el año pasado.

Ver comentarios
KONTINÚA LEYENDO