Saltar al contenido
computerg

🥇 Las Compañías Impiden Que Los Clientes Del Servicio Aseguren Sus Cuentas Tras Una Violación De T-Mobile

septiembre 11, 2021

La filtración de datos más reciente de T-Mobile filtró la información personal de cincuenta y tres millones de personas, con nombres, direcciones e inclusive números de Seguro Social filtrados on line.

Las personas perjudicadas no solo encaran el peligro de hurto de identidad, sino más bien asimismo la creciente amenaza del intercambio de tarjetas SIM, que puede permitir a los atacantes raptar sus cuentas on line.

Aunque los especialistas en seguridad han asesorado a los usuarios sobre de qué forma resguardarse, ciertas empresas conocidas les impiden activamente resguardar sus cuentas.

Intercambios de SIM

En un intercambio de tarjeta SIM, los criminales hurtan el número de su víctima persuadiendo al operador de telefonía móvil para trasferir el servicio telefónico de la víctima a una tarjeta SIM que controlan.

La violación de T-Mobile facilita que los criminales lo hagan, en tanto que filtró contestaciones a las preguntas que el operador de telefonía móvil podría hacer ya antes de admitir mudar la tarjeta SIM de la víctima.

«En un escenario hipotético, si el servicio de atención al usuario le solicita a un atacante los últimos 4 dígitos de su número de seguro social y tarjeta de crédito para acceder a su cuenta, el atacante ahora puede contestar apropiadamente a estos retos», apunta Kevin Lee, estudioso de seguridad y estudiante de doctorado. en el Departamento de Ciencias de la Computación de la Universidad de Princeton.

«Una vez dentro, el atacante puede solicitarle al agente de servicio al usuario que actualice la tarjeta SIM de su cuenta con una nueva en su poder, lo que fundamentalmente desviará sus llamadas y mensajes entrantes … al ‘atacante».

Puesto que muchas cuentas on line dejan a los usuarios restituir sus claves de acceso y percibir códigos de autentificación de 2 factores (2FA) mediante SMS, en el momento en que un atacante hurta el número de un usuario, asimismo pueden piratear sus cuentas on line. Los especialistas en seguridad han aconsejado a los perjudicados por la violación de T-Mobile que resguarden sus cuentas habilitando métodos 2FA no basados ​​en SMS, como aplicaciones de autentificación o bien claves de seguridad. Mas no todas y cada una de las compañías ofrecen esta alternativa a sus usuarios e inclusive cuando lo hacen, muchas prosiguen teniendo vulnerabilidades en la manera en que autentican a sus usuarios, lo que pone bajo riesgo las cuentas de los clientes del servicio.

Las empresas ponen bajo riesgo a sus clientes

El año pasado, Lee y un equipo de estudiosos advirtieron a muchas empresas conocidas sobre estas vulnerabilidades en la manera en que autentican a sus usuarios.

Venmo, la aplicación de pago móvil, fue una de las compañías contactadas. Un usuario de Venmo puede pedir un restablecimiento de clave de acceso mediante SMS y asimismo va a recibir códigos 2FA mediante SMS; no tienen la opción de emplear un procedimiento más seguro, como un autenticador. Esto quiere decir que si un usuario ha intercambiado su tarjeta SIM, el atacante tiene todo cuanto precisa para raptar la cuenta de Venmo de su víctima y tomar el control de su dinero.

WP.com es otro criminal contactado por Lee y sus colegas. Como Venmo, dejan a los usuarios restituir su clave de acceso mediante SMS. En contraste a Venmo, dejan a los usuarios configurar un autenticador, mas requieren que los usuarios reciban códigos 2FA mediante SMS como respaldo, lo que compromete por completo las ventajas de seguridad del autenticador.

Si un usuario de WP.com ha intercambiado su tarjeta SIM, el atacante puede restituir su clave de acceso y eludir la necesidad de un autenticador enviándole un código por mensaje de texto, lo que le deja piratear la cuenta de su víctima y conseguirlos.

La situación con WP.com empeora por el hecho de que no existe ninguna indicación en la configuración de 2FA de un usuario de que cuando se configura un autenticador, SMS está habilitado como respaldo. En mi cuenta, por servirnos de un ejemplo, me afirma «Ha habilitado la autentificación de 2 pasos en su cuenta: ¡conexión!» Cuando comience sesión en WP.com, va a deber ingresar su nombre de usuario y clave de acceso, como una clave de acceso única generada por una aplicación en su dispositivo móvil. Si me desplazo cara abajo, puedo ver mis métodos de respaldo, mas SMS no aparece en la lista. Solo cuando comienzo sesión veo el SMS proporcionado como una alternativa de respaldo.

La configuración de 2FA de WP.com no mienta que SMS 2FA esté habilitado como procedimiento de backup obligatorio. (Crédito de la imagen: Rebecca Morris)

Opciones de WordPress 2FA

(Crédito de la imagen: Rebecca Morris)

Por lo general, Lee y sus colegas identificaron diecisiete sitios que estaban bajo riesgo de raptar las cuentas de sus clientes del servicio tras un cambio de tarjeta SIM. Solo cuatro de los diecisiete resolvieron el inconveniente.

Venmo y WP.com se hallan entre los trece que no han tomado ninguna medida, como lo confirmé probando con mis cuentas y poniéndome en contacto con el servicio de atención al usuario. En ciertos casos, las compañías no tomaron medidas pues no comprendieron que la manera en que autenticaban a los usuarios no era segura, lo que Lee calificó de «alarmante». Otros reconocieron el inconveniente, afirmó, mas optaron por no hacer cambios «por miedo a incordiar a los clientes del servicio».

Que pueden hacer las empresas

Las compañías no deben tomar medidas radicales para eludir que las cuentas de sus clientes del servicio sean pirateadas tras un cambio de tarjeta SIM.

Lee resaltó la relevancia del modelado de amenazas, un proceso en el que las compañías examinan las posibles formas en que un atacante puede interaccionar con su lugar para identificar vulnerabilidades y solucionarlas de antemano.

Ciertos sitios más seguros que escanearon seguramente se habían implicado en el modelado de amenazas y también identificaron el inconveniente mismos al dejar que se restituyeran las claves de acceso y los códigos 2FA se enviaran por SMS.

Estas empresas «prohibirían la restauración autenticada por SMS para las cuentas que tengan habilitado el comienzo de sesión por SMS en 2 pasos», afirmó Lee. Esto por lo menos ofrece cierta protección si un usuario se intercambia con la tarjeta SIM, en tanto que los atacantes no van a poder acceder a la cuenta de la víctima salvo que asimismo hayan conseguido su clave de acceso por otros medios.

Lee y sus colegas asimismo aconsejaron que las compañías ofrezcan a sus clientes del servicio por lo menos una alternativa 2FA segura, como una aplicación de autentificación o bien una clave de seguridad.

Como apuntaron, estas opciones no solo son más seguras, sino dejan una autentificación más veloz y se pueden emplear sin conexión a Internet.

Lee apuntó por correo que demandar SMS 2FA como respaldo «podría no satisfacer las necesidades de seguridad de todos e inclusive podría dañar a los usuarios», singularmente cuando se hace sin su conocimiento. Agregó que «la trasparencia es esencial» y que las compañías deben suministrar a los usuarios información clara sobre los métodos que pueden emplear para acceder a su cuenta.

De este modo, por lo menos un usuario que tenga un autenticador configurado no va a ser tomado por sorpresa si se intercambia con la tarjeta SIM y descubre que su cuenta todavía está pirateada pues SMS 2FA se ha activado sigilosamente como respaldo.

No obstante, las compañías que siguen sin hacer nada ayudan a los ciberdelincuentes, no a sus clientes del servicio.


Source link