28 may. 2019

Gerente de BitGo pierde US$100.000 en "ataque de puerto SIM"

Sean Coonce, el gerente de ingeniería de la firma de custodia de criptomonedas BitGo, dio a conocer que fue víctima de un "ataque de puerto SIM físico" en el que perdió US$100.000 de sus fondos en Coinbase por medio de un comunicado publicado en su blog oficial de Medium.
Esta fue la lección más cara de mi vida y quiero compartir mi experiencia + lecciones aprendidas con la mayor cantidad de personas posible. Mi objetivo es aumentar la conciencia acerca de estos tipos de ataques y para motivar a que para aumentar la seguridad de su identidad en línea.
Coonce define un ataque de puerto SIM como "un puerto malicioso realizado por una fuente no autorizada: el atacante". De esta forma, el atacante puede mover una tarjeta SIM ajena a un teléfono de su control, e iniciar el proceso de restablecimiento de contraseña en la cuenta de correo electrónico de su víctima.
Una vez iniciado el proceso, el proveedor de correo electrónico envía un código de verificación a su número de teléfono como una medida de seguridad para comprobar que se trata del dueño de la misma (autenticación de dos factores). Sin embargo, es el atacante quien lo recibe en dicho caso.

La mayoría de las personas tiene un correo electrónico principal que usa para afiliarse a diferentes servicios, y esto representa un gran peligro. Una vez que el atacante obtiene el control del correo, puede desplazarse a través de los servicios en línea relacionados con dinero, como cuentas bancarias, por ejemplo. Dependiendo de sus intenciones, este podría incluso bloquear el acceso de las personas a estas.

El ejecutivo considera que esta fue "la lección más cara" de su vida, puesto que perdió un porcentaje significativo de su patrimonio neto en menos de 24 horas y de manera irreversible.

En su post, plantea una serie de recomendaciones orientadas a evitar que la comunidad pase por situaciones similares. La primera, como hemos mencionado en oportunidades anteriores, es utilizar una billetera de hardware para almacenar las criptomonedas siempre que no se estén realizando transacciones, así como evitar dejar fondos en las plataformas de intercambio.

Coonce hace énfasis en que la autenticación de dos factores no es suficiente, y recomienda utilizar su Yubikey y crear un número de teléfono con Google Voice, puesto que este no puede ser utilizado en un ataque de puerto SIM.

De igual forma, recomienda no compartir información como nuestra fecha de nacimiento, ubicación, imágenes con nuestra ubicación, entre otros, en línea, pues esta información puede ser útil a los atacantes. Así como también evitar asociar todos nuestros servicios en línea a una sola cuenta de correo electrónico, sino contar con varias con contraseñas diferentes, en lo cual también puede ser útil un administrador de contraseñas sin conexión.

2FA basado en SMS no es suficiente: independientemente de los activos y/o identidades que intenta proteger en línea, actualice a la seguridad basada en hardware (es decir, algo físico que un atacante tendría que obtener físicamente para realizar un ataque). Si bien Google Authenticator y Authy pueden convertir su dispositivo móvil en una pieza de seguridad basada en hardware, le aconsejo ir un paso más allá. Elija una YubiKey que controle físicamente y que no pueda ser falsificada.

Fuente: CoinCrispy

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!