30 oct. 2020

SIM Swapping vs Secuestro de Whatsapp

Ataque número 1: SIM Swapping

Este es un tipo de ciberataque viejo, pero que por desgracia hoy en día sigue funcionando, no tanto como años atrás, ya que muchas de las entidades bancarias ya no verifican las operaciones de transferencia mediante un SMS, aunque si lo siguen haciendo los operadores de tarjetas bancarias para confirmar ciertos cargos o pagos online.

El ataqué en sí es muy sencillo, en una primera parte, a través de por ejemplo un phishing consiguen obtener: el usuario, la contraseña y el número de teléfono de cada una de sus víctimas. Con estos datos solamente podrían consultar el saldo bancario de las cuentas, ya que para ordenar una transferencia necesitan un 2FA, o lo que es lo mismo, un segundo factor de autenticación además del de la contraseña, este puede ser: una tarjeta de coordenadas, otra contraseña distinta, un token en el móvil o un SMS con un PIN único para verificar la transferencia. Aquí es donde entra en juego el SIM Swapping, el PIN vía SMS es el eslabón más débil de todos los posibles 2FA.
 
Fig. Ejemplo SMS verificación PayPal

Los cibercriminales solamente tienen que conseguir un duplicado de la tarjeta SIM de la víctima. Una vez tenga en su poder el duplicado de la SIM, la SIM legitima, es decir, la que tiene la victima introducida en su teléfono queda inoperativa y por lo tanto su teléfono queda sin cobertura. En ese momento introducen la SIM duplicada en un teléfono suyo (de los malos) y solamente tienen que esperar a que les llegue el SMS con el PIN que autoriza la transferencia fraudulenta.

Si estas pensando que esto a ti te da igual ya que solo tienes 8€ en la cuenta, a los cibercriminales sí que les da igual, ya que últimamente no les llega con desvalijarte la cuenta bancaria, sino que además, solicitan créditos rápidos en tú nombre a través de la propia página web de la entidad bancaria e inmediatamente vuelven a retirar esos fondos.

¿Cómo evitarlo?

No es fácil evitar ser víctima de este tipo de ciberataque, el primer consejo sería que tuvieras precaución a la hora de introducir tus contraseñas bancarias en un sitio falso, ya sea a través de un phishing o un pharming. Pero la realidad, es que los cibercriminales no descansan y cada día piensan en nuevos métodos para robarte las contraseñas. En el caso de la operación policial que os contaba anteriormente, en la que se detuvieron a 19 personas, la contraseñas bancarias las obtuvieron a través de un taller de reparación de teléfonos móviles con el que estaban en connivencia, así cuando alguien llevaba a reparar su teléfono roto no solo le limpiaban la pantalla sino que también le limpiaban la cuenta bancaria.

Una forma de darte cuenta que te están haciendo un SIM Swapping, es si ves que tu móvil se queda sin cobertura en una zona en la que siempre la tenías y otras personas de tu entorno de la misma compañía si tienen cobertura, además en este caso si intentas llamar por teléfono no tendrás línea pero si alguien te llama a ti se escuchará el tono sin que tú teléfono suene, este será un indicador de que alguien ha duplicado tu tarjeta SIM. Deberás ponerte en contacto rápidamente con tu compañía telefónica para confirmarlo e inmediatamente hablar con tu banco para que bloqueen las transferencias y la apertura de líneas de crédito en tú nombre a través de la banca online.

Cuando solicitamos de forma legítima un duplicado de la SIM, ya sea debido a que la nuestra está dañada o la necesitamos de otro tamaño, la tarjeta SIM vieja se cancela para que pueda funcionar la nueva, por ese motivo, cuando alguien hace un duplicado de tú SIM de forma fraudulenta tú te quedarás automáticamente sin cobertura, debido a que tu línea de teléfono estará asociada a la nueva SIM vieja.

Si llamas pos teléfono a tu número y sale apagado significará que todavía no han intentado hacer ninguna transferencia o ya la han hecho, si por el contra da tono, significará que están en proceso de vaciarte la cuenta, habla rápidamente con tu entidad bancaria. Existe otra posibilidad que se llama "MultiSIM", esto es poder disponer de dos tarjetas SIM físicas asociadas al mismo número, es decir, tener el mismo número de teléfono en dos dispositivos distintos, los cuales pueden recibir llamadas y realizar llamadas de forma indistinta, aunque también se podría utilizar esta tecnología para ejecutar ataques tipo SIM Swapping, el hecho de realizar la contratación de este servicio o la gestión de los códigos PIN no les resulta tan sencillo a los cibercriminales, por lo que normalmente se decantan por el primer método.

Ataque número 2: Secuestro de Whatsapp

Otro ataque complemente distinto al anterior y que también ya es muy viejo, es el secuestro de una cuenta de Whatsapp.

El procedimiento también es muy simple, quizás demasiado. Como sabréis Whatsapp por defecto no tiene contraseña. – ¿Entonces como sabe la aplicación de quien es cada cuenta?. – Muy fácil, realiza un inicio de sesión semitransparente para el usuario a través de su número de teléfono. Las cuentas de Whatsapp siempre están vinculadas a un número de teléfono, y para verificar que la persona que intenta iniciar sesión es el legitimo usuario de ese teléfono, la aplicación envía un SMS con un PIN (de nuevo, el mismo planteamiento que antes: SMS + PIN), en principio solamente el usuario del teléfono tiene acceso a ese PIN que le llega por SMS y puede iniciar sesión en Whatsapp. Puede que me digas que tú tienes Whatsapp y nunca has recibido ese SMS, en realidad si lo has recibido, pero no lo has visto. Si le has dado permisos a Whatsapp para que pueda leer tus SMS (Si, es uno de los permisos que te pide, ¿lo sabías?) será capaz de leerlo automáticamente e iniciar sesión sin que tú tengas que hacer nada.

El problema surge, cuando alguien utilizando cualquier tipo de estratagema te pide que le digas o envíes el número PIN que te llegó por SMS, por ejemplo, que te envío por error ese número y que era para él. Si tú le das ese número PIN, la otra persona podrá iniciar sesión en Whatsapp haciéndose pasar por ti, y lo que es peor, a ti se te cerrará la cuenta ya que Whatsapp solamente permite un inicio de sesión al mismo tiempo. Una ventaja del sistema de cifrado de Whatsapp, es que aunque te roben la cuenta de este modo, la persona que te la robó no podrá leer tus mensajes anteriores.
Fig. Engaño mediante Whatsapp

– Pero... ¿y si ya me ha pasado?

– Si has logrado darte de cuenta al momento, ¡corre!, abre tu Whatsapp y verifica de nuevo tu número de teléfono, recuperarás tu cuenta. (posiblemente te llegue luego otro segundo SMS, ni caso, será el ladrón tratando de volvértela a robar)
 
Fig. Primer intento de recuperación de cuenta

Si no has llegado a tiempo y ya no te deja verificarla, significará que el ladrón ha activado la verificación en dos pasos 2FA de tu Whatsapp. Es decir, ¡¡¡le puso una contraseña a tu cuenta!!!

¡Tranquilo todo el mundo!, no está todo perdido. Por seguridad (para evitar estas cosas), Whatsapp te permitirá en 7 días (al octavo día), volver a verificar tu cuenta sin 2FA. Tendrás que poner una alarma en el móvil, y esperar. Al 8º día, verifica tu cuenta. En esta situación la sesión de Whatsapp de la persona que te ha robado la cuenta también se le cerrará.

Normalmente esto funciona, pero si no, puedes esperar 30 días para realizar un segundo intento de verificación. Otra opción es enviarle un email a la gente de Whatsapp: [email protected] y contarles lo que te ha pasado, igual te ayudan si les adjuntas la siguiente imagen.

¿Y si todavía no te ha pasado el que te hayan intentado robar la cuenta de Whatsapp?, pues antes de cantar victoria, te dejo un #CiberConsejo para que modifiques la configuración de seguridad de tu cuenta de Whatsapp añadiéndole una contraseña, así para poder iniciar sesión en tu cuenta no será suficiente con acceso a la SIM, también deberán conocer la contraseña, lo que dificulta mucho que alguien te pueda robar la cuenta. Si no sabes como añadir una contraseña a tú cuenta de Whatsapp te explico como hacerlo:

Primera deberás acceder al menú cuenta de Whatsapp desde: Menú -> Ajustes ->Cuenta. Luego te pedirá el PIN cada ciertos días para que no lo olvides, es un poco engorroso pero necesario.

Fig. 2FA en Whatsapp

Y como bonus, si vas a dar de baja tu número de teléfono, antes de hacerlo recuerda eliminar tu cuenta de Whatsapp. Si no lo haces, al próximo usuario que asignen tu número de teléfono podrá ver tus grupos de Whatsapp.

Fig. Eliminar cuenta de Whatsapp

Quizás a estas alturas te estarás preguntando para que hacen todo esto los cibercriminales, con lo del SIM Swapping estaba claro que la finalidad era realizar transferencias bancarias fraudulentas, aunque también lo pueden utilizar para acceder sin autorización a cuentas en redes sociales o correos electrónicos, pero….

¿Y el secuestro de Whatsapp? ¿Qué ganan robando una cuenta de Whatsapp a una persona cualquiera?

Aunque no lo creas, tu información privada como por ejemplo tus chats vale dinero, pero normalmente este ataque suele llevarse a cabo con dos finalidades principales. La primera para “fastidiar” a alguien, robándole la cuenta y dedicándose a enviar mensajes inadecuados a sus contactos, habitualmente llevado a cabo por jóvenes contra conocidos suyos. Aunque pueda parecer que se trata de una broma, se podría tratar de un delito de descubrimiento y revelación de secretos.

El segundo, para obtener dinero. ¿Cómo?, te estarás preguntando, de la forma más sencilla que te puedas imaginar: Se dedican a enviarle mensajes a todos tus contactos, haciéndose pasar por ti y diciéndoles que no digan nada, pero que tienes un grave problema económico, de salud o cualquier otro y que necesitas dinero de forma urgente, que por favor manden un poco de dinero a través del método que hubieran dispuesto. Un cierto número de tus contactos pensado que realmente te pasa algo, ya que creerán que están hablando contigo, realizarán el pago creyendo que te están ayudando.

Aún me acuerdo, hará cosa de ocho o nueve años, una profesora de infantil a la que robaron su cuenta de email y se dedicaron a enviar emails a todos sus contactos con la misma excusa que os conté antes, que tenía un grave problema económico y que necesitaba una pequeña ayuda. Con lo que no contaban los cibercriminales es que esa profesora solamente hablaba por email con los padres de sus alumnos, al día siguiente todos los niños aparecieron en clase con un sobre de dinero que les habían dado sus padres para ayudar a su profe.

En resumen, a través de un ataque tipo SIM Swapping, los cibercriminales solamente podrán acceder a tus cuentas en redes sociales o ordenar transferencias fraudulentas, pero siempre habiendo obtenido previamente las contraseñas de acceso, ya sea a través de un phishing u otro método. En el caso de redes sociales, es posible que utilicen la opción de recuperar contraseña de tu email, para robarte directamente la cuenta a través del código que te llega por SMS, en ese caso no necesitarán haber obtenido previamente ninguna contraseña.

Por el contrario, a través de un secuestro de Whatsapp, un cibercriminal solamente podrá hacerse pasar por ti hablando con tus contactos en Whatsapp, posiblemente para ejecutar técnicas de ingeniería social y obtener su propósito.

Fig. Tabla comparativa Secuestro Whatsapp y SIM Swapping

Lo que no es posible, o al menos no tiene relación técnica entre sí, es el secuestro de Whatsapp o un SIM Swapping, con la instalación de un malware en el teléfono móvil. Es decir, una consecuencia directa de un secuestro de Whatsapp o un SIM Swapping, nunca será la instalación de un malware o programa espía en tú móvil, cosa distinta es que aprovechando que se hacen pasar por ti, le envíen un programa malicioso a un contacto tuyo.

Así que ya sabes, trata de no utilizar segundos factores de autenticación que utilicen tecnología SMS y ponle contraseña a tu Whatsapp.

Fuente: Glider

1 comentario:

  1. Y sitios como el de Mercado Libre por ej. que tiene la opción de recibir código de verificación no solo mediante una llamada o un SMS sino también a través de WhatsApp.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!