Interceptar un mensaje de texto es posible gracias a las vulnerabilidades de los protocolos de las señales telefónicas del SS7 (el Sistema de señalización por canal común nº 7).
Estos protocolos de señales son la red troncal del sistema de comunicaciones telefónicas contemporáneo, diseñados para transmitir toda la información del servicio mediante la red telefónica. Se desarrollaron en los años 70 y se implementaron por primera vez en los 80; desde entonces, se han convertido en el estándar mundial. ¿Cómo funciona SS7 y sus vulnerabilidades?
El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes.
El Metro Bank del Reino Unido acaba de confirmar a Motherboard que algunos de sus clientes han sufrido este tipo de fraude. En 2017, Süddeutsche Zeitung informó que los bancos alemanes se habían enfrentado al mismo problema.
Pero también hay buenas noticias. Como comenta el propio Metro Bank, muy pocos clientes tuvieron que lidiar con un problema de este tipo y “ninguno se quedó sin dinero”.
Todo esto se podría haber evitado si los bancos utilizaran autentificación de doble factor que no dependiera de los mensajes de texto (por ejemplo, una aplicación o un dispositivo de autentificación hardware como Yubikei). Lamentablemente, de momento la mayoría de las instituciones financieras no permiten otros medios de autentificación de doble factor que no sea a través de SMS. Esperamos que en un futuro próximo los bancos de todo el mundo ofrezcan otras opciones a los clientes para mejorar su protección.
Fuente: Kaspersky
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!