Incluso con considerables precauciones de seguridad, El director ejecutivo de Twitter, Jack Dorsey, se convirtió en víctima de un compromiso vergonzoso cuando los atacantes tomaron el control de su cuenta en la plataforma al secuestrar su número de teléfono.

Dorsey se convirtió en el objetivo más reciente del llamado fraude de "intercambio de SIM" que permite a un estafador engañar a un operador de telefonía móvil para que transfiera un número, lo que podría hacer que las personas pierdan el control no solo de las redes sociales, pero cuentas bancarias y otra información sensible.

Este tipo de ataque tiene como objetivo una debilidad en la "autenticación de dos factores" a través de un mensaje de texto para validar el acceso a una cuenta. que se ha convertido en un método de robo popular en los últimos años.

Twitter dijo el viernes que la cuenta fue restaurada luego de un breve tiempo en el que los atacantes publicaron una serie de tuits ofensivos.

Pero Ori Eisen, fundador de la empresa de seguridad Trusona, con sede en Arizona, que se especializa en autenticación sin contraseñas, dijo que la solución rápida no debe verse como una respuesta al amplio problema del fraude de intercambio de SIM.

"El problema no ha terminado, "Eisen dijo, señalando que este tipo de ataques se han utilizado para apoderarse de otras cuentas de redes sociales de alto perfil y para varios tipos de esquemas de fraude.

Eisen dijo que no está claro cuántas personas son atacadas de esta manera, pero que la tecnología automatizada puede crear miles de millones de llamadas que atraen a las personas a entregar información o contraseñas.

Cambiar de teléfono, o fraude?

Algunos analistas dicen que los piratas informáticos han encontrado formas de obtener fácilmente suficiente información para que un operador de telecomunicaciones transfiera un número a la cuenta de un estafador. especialmente después de hackeos de grandes bases de datos que resultan en la venta de datos personales en la llamada "web oscura".

"Los mensajes de texto de las cuentas móviles pueden ser secuestrados mediante sofisticadas técnicas de hardware, sino también mediante la denominada "ingeniería social":convencer a un proveedor de telefonía móvil para que migre su cuenta a otra, teléfono no autorizado, "dijo R. David Edelman, ex asesor de la Casa Blanca que dirige un centro de investigación de ciberseguridad en el Instituto de Tecnología de Massachusetts.

"Solo se necesitan unos minutos de confusión para hacer una travesura como la que experimentó Dorsey".

Se han reportado miles de estos ataques en países donde los pagos móviles son comunes, incluso en Brasil, Mozambique, India y España.

Los investigadores de la firma de seguridad Kaspersky dicen que los sistemas de seguridad de muchos operadores móviles "son débiles y dejan a los clientes expuestos a ataques de intercambio de SIM", especialmente si los atacantes pueden recopilar información como fechas de nacimiento y otros datos.

En una publicación de blog reciente, Los investigadores de Kaspersky, Fabio Assolini y Andre Tenreiro, dijeron que algunos casos provienen de ciberdelincuentes que pagan a empleados corruptos de operadores móviles, por tan solo $ 10 a $ 15 por víctima.

"El interés en este tipo de ataques es tan grande entre los ciberdelincuentes que algunos de ellos decidieron venderlo como un servicio a otros, "escribieron los investigadores.

En Brasil, algunos delincuentes se han apoderado de las cuentas de WhatsApp de las víctimas, usándolo para pedir a los amigos de la persona "pago urgente, "Escribieron Assolini y Tenreiro.

'Maduro' para el fraude

"Esta es una vía bastante propicia para el fraude, "dijo Joseph Hall, tecnólogo del Center for Democracy &Technology en Washington.

Hall dijo que algunos operadores están utilizando inteligencia artificial para separar los reemplazos legítimos de tarjetas SIM del fraude. pero que esto no se ha implementado universalmente.

"Culparía a los operadores por no tener formas más sólidas de autenticar a los usuarios, "añadió, al mismo tiempo que pide a Twitter que ofrezca mejores garantías.

Un tweet falso del presidente u otra persona prominente podría tener "consecuencias devastadoras, "como una caída en los mercados financieros, Hall dijo.

"Este tipo de cosas se vuelve difícil de contrarrestar, porque incluso después de que salga la información de que es un engaño, la gente puede no creerlo, " él dijo.

El caso Dorsey, Hall dijo:destaca la necesidad de mejores formas de autenticación, especialmente para grandes plataformas en línea como Facebook y Twitter, donde los mensajes pueden tener un impacto.

Esto podría involucrar una clave física que se conecta a un dispositivo o un sistema basado en software como Google Authenticator, Hall señaló.

Eisen dijo que, paradójicamente, El impulso de contraseñas más largas y complejas ha llevado a un mayor uso de mensajes de texto inseguros para la autenticación.

"Los profesionales de la seguridad deben aceptar el hecho de que lo que solía funcionar no funciona ahora, " él dijo.

"Necesitamos buscar soluciones que no sean explotadas tan fácilmente por los malos y que la gente pueda adoptar fácilmente".

© 2019 AFP