Varias operadoras de telefonía con tarjetas de prepago facilitaron secuestros de SIM sólo pasando un test de autenticación.
Un estudio de Princeton ha descubierto que cinco operadores de prepago de EE.UU. utilizan técnicas de autenticación que son vulnerables a tácticas de secuestro de SIM. Los investigadores crearon 10 cuentas de prepago en AT&T, T-Mobile, Tracfone, US Mobile y Verizon Wireless. Descubrieron que sólo necesitaban responder con éxito a una pregunta para verificar su identidad y conseguir que las compañías cambiaran su servicio a una tarjeta SIM que ya tenían. Ni siquiera importaba si los otros pasos de autenticación eran incorrectos.
Ese tipo de técnica de cambio de SIM podría ser utilizada por los atacantes para obtener el control del número de teléfono de la víctima. Luego pueden usar ese número para restablecer las contraseñas de la víctima y acceder, por ejemplo, a sus correos electrónicos y cuentas bancarias.
Para probar las medidas de seguridad de los operadores, llamaron a las compañías para solicitar un cambio de SIM y proporcionaron intencionadamente el número de PIN equivocado para forzar al representante de servicio al cliente a probar otro método de autenticación. Cuando se les pedía la fecha de nacimiento o el código postal de facturación del titular de la cuenta, decían que debían haber cometido un error al registrarse y proporcionado la información incorrecta.
El representante de servicio al cliente tendría entonces que pasar a un tercer tipo de método de autenticación, que es pedir sus dos llamadas más recientes. Fue a través de este método que los investigadores pudieron completar con éxito los intercambios de SIM. Y eso es alarmante, ya que los atacantes pueden engañar fácilmente a las víctimas para que llamen a números de teléfono aleatorios.
Además, los investigadores examinaron 140 sitios y servicios populares en línea que usan autenticación telefónica para ver lo que los atacantes pueden hacer con los números que secuestran. Pudieron restablecer fácilmente las contraseñas de 17 de esos servicios usando sólo las SIM secuestradas, ya que no se les hicieron preguntas adicionales de autenticación.
Los investigadores de Princeton proporcionaron una copia de sus hallazgos a los operadores el año pasado, y T-Mobile les notificó este mes que ya no utiliza los registros de llamadas como forma de autenticación.
Un portavoz de T-Mobile le entregó a Engadget la siguiente declaración por escrito: «Nos tomamos muy en serio la protección de las cuentas de nuestros clientes. Hemos implementado muchas salvaguardas y realizaremos mejoras continuas a medida que necesitemos responder a nuevos riesgos». Más recientemente, esto incluyó el cambio de nuestros procesos de autenticación en las cuentas de prepago de T-Mobile para evitar el uso de la información del registro de llamadas para la autenticación».
El vicepresidente ejecutivo de Verizon, Nick Ludlum, declaró: «Los operadores de telefonía móvil están comprometidos a proteger a los consumidores y a combatir los ataques de intercambio de SIM. Continuamente revisamos y actualizamos nuestras prácticas de ciberseguridad y desarrollamos nuevas protecciones para los consumidores. Todos tenemos un papel que desempeñar en la lucha contra el fraude y animamos a los consumidores a utilizar las herramientas destacadas en este estudio para salvaguardar su información personal».
En definitiva, esto nos demuestra una vez más que el eslabón más débil en cuanto a seguridad, es el humano. Esperamos que cuiden más los protocolos que los técnicos de soporte deben seguir en estos casos.