por
Rowan Jordan / Getty Images
Los investigadores afirmaron que una medida de seguridad recomendada por muchos sitios web y aplicaciones es fácilmente pirateable, lo que puede poner en riesgo a millones de personas.
La autenticación de dos factores (2FA) implica el envío de códigos de confirmación por SMS a su teléfono cuando intenta conectarse a un servicio en línea. Pero si alguien puede comprometer su teléfono, también le dará acceso a sus cuentas en línea.
Los ataques de "intercambio de SIM" hacen exactamente eso, permitiendo a los hackers portar números a nuevas tarjetas SIM. Las redes de telefonía móvil deben tener medidas de seguridad para evitar que esto suceda, pero Kevin Lee, de la Universidad de Princeton, y sus colegas han descubierto que cinco redes estadounidenses importantes no tienen protecciones adecuadas.
publicidad
Una vez que un atacante tiene el control de su número de teléfono, puede restablecer las contraseñas de las cuentas en línea redirigiendo los textos de confirmación de 2FA.
"Un número de teléfono robado va más allá de simplemente derrotar la configuración de autenticación de dos factores de la víctima: le permite al atacante suplantar y negar el servicio celular de la víctima "dice Lee.
El equipo también analizó 140 sitios web diferentes por su vulnerabilidad al intercambio de SIM. Descubrieron que 17 sitios web principales, cuyos nombres han sido redactados por razones de seguridad, eran "doblemente inseguros", lo que significa que ningún usuario necesitaba ingresar su contraseña para acceder a cuentas, simplemente requiere un número de teléfono.
El equipo presentó sus hallazgos a las redes involucradas: AT&T, T-Mobile, Tracfone, US Mobile y Verizon Wireless, haciendo 10 recomendaciones para mejorar la seguridad, por ejemplo, evitando que los representantes de atención al cliente accedan a la información antes de que el cliente autentique su propiedad de la cuenta. . Solo una compañía, T-Mobile, respondió a los investigadores, diciendo que examinaría cómo autentica a los clientes.
por separado, Nuevo cientifico contactó a las cinco compañías. T-Mobile ha confirmado que ha cambiado su proceso de autenticación. US Mobile ha declarado que menos del 1% de sus solicitudes de intercambio de tarjetas SIM se realizan por teléfono y que es poco probable que sea víctima de este tipo de ataque.
AT&T y Verizon lideraron Nuevo cientifico en CITA, la asociación comercial estadounidense que representa a la industria de las comunicaciones inalámbricas. "Todos tenemos un papel que desempeñar en la lucha contra el fraude y alentamos a los consumidores a utilizar las numerosas herramientas destacadas en este estudio para proteger su información personal", dice Nick Ludlum de CITA. Tracfone no respondió.
Victoria Baines, del Oxford Internet Institute de la Universidad de Oxford, respalda los hallazgos y métodos del documento, así como las recomendaciones del equipo, pero cree que los investigadores deberían revelar los sitios más vulnerables. "Estos son los servicios cuya identidad todos deberíamos conocer", dice ella.
"La mayoría de estos sitios web redactados con configuraciones doblemente inseguras tienen cientos de millones de usuarios, algunos incluso miles de millones", dice Lee, por lo que no sería responsable de revelar sus nombres, dijo.
Pero si los usuarios estaban considerando deshabilitar 2FA, los autores sugieren pensar de nuevo. "Al final, es incluso mejor que nada", dice Lee.
Más sobre estos temas:
Deja un comentario