Los 5 principales operadores inalámbricos de EE. UU. Son vulnerables a los ataques de intercambio de SIM


En lo que respecta a la protección contra este tipo insidioso de estafa, los procedimientos de autenticación de las empresas de telecomunicaciones dejan mucho que desear, según un estudio

Cinco de los principales operadores inalámbricos de EE. UU., AT&T, T-Mobile, Verizon, Tracfone y US Mobile, son susceptibles a las estafas de intercambio de SIM, un peligro que se avecina, especialmente sobre las cuentas prepagas, un estudio de investigadores de la Universidad de Princeton ha encontrado.

Los ataques de intercambio de SIM, también conocidos como estafas de cambio de puerto o SIM, han sido un problema grave y creciente en los últimos tiempos, con sus víctimas incluidas CEO de Twitter Jack Dorsey. Anteriormente se demostró que los atacantes pueden, con relativa facilidad, ejecutar estos ataques para controlar los números telefónicos de las personas. A partir de ahí, pueden ingresar a las cuentas bancarias, redes sociales y otras cuentas de las víctimas que usan el mismo número de teléfono para autenticación multifactor.

Para probar la resistencia de los transportistas a este tipo de fraude, los investigadores crearon 10 identidades simuladas con todas las campanas y silbatos, incluidos los nombres, las fechas de nacimiento y las direcciones. Para cada identidad, registraron una cuenta prepaga con los cinco proveedores de servicios inalámbricos, por un complete de 50 números de teléfono. Luego crearon un rastro de llamadas telefónicas y mensajes de texto, dando a las cuentas un aura de credibilidad.

Los asistentes de investigación (RA) luego se hicieron pasar por malos actores y llamaron a los representantes de atención al cliente de las empresas, tratando de engañarlos para que completen sin darse cuenta el fraude de intercambio de SIM exitoso. Si los «estafadores» no pudieran proporcionar respuestas correctas a los desafíos de autenticación, fingirían ignorancia e intencionalmente proporcionarían respuestas falsas. Sin embargo, esto apenas importó al final.

Escenario de ejemplo (fuente: un estudio empírico de autenticación de operador inalámbrico para intercambios de SIM)

«Al proporcionar respuestas incorrectas a preguntas personales como la fecha de nacimiento o el código postal de facturación, los RA explicaban que habían sido descuidados al registrarse, posiblemente habían proporcionado información incorrecta y no podían recordar la información que habían usado», se lee en el periódico.

El private de servicio al cliente recurrió a otros métodos de autenticación, algunos de los cuales resultaron fácilmente subvertibles. Los métodos cuestionables incluían preguntar sobre números marcados recientemente o información de pago reciente. Cuando se trata de cuentas prepagas, esto se omite fácilmente si utiliza una tarjeta de recarga.

De manera preocupante, los posibles estafadores necesitaban pasar solo una de las pruebas para autenticarse, incluso si habían fallado en varios desafíos anteriores. En las propias palabras de los investigadores, «los atacantes generalmente solo necesitaban atacar los desafíos de autenticación más vulnerables, porque el resto podría pasarse por alto».

ARTÍCULO RELACIONADO: Pasos simples para protegerse contra el robo de identidad

Se notificó a los transportistas sobre las deficiencias de sus procedimientos de autenticación para que pudieran responder adecuadamente. T-Mobile, por su parte, dijo que había «descontinuado el uso de registros de llamadas para la autenticación del cliente», dice el estudiar.

Además, los investigadores también analizaron 145 sitios website que usan autenticación por teléfono para determinar cómo las estafas de intercambio de SIM podrían ayudar a un atacante a comprometer la cuenta de un usuario. Descubrieron que 17 de ellos podrían verse comprometidos con solo un intercambio de SIM.

En una nota relacionada, un día antes de que se publicara la investigación, los miembros del Congreso de los Estados Unidos enviaron un letra al presidente de la Comisión Federal de Comunicaciones (FCC), Ajit Pai. La carta instó a la FCC a exigir a los operadores de telefonía móvil que refuercen la seguridad de los usuarios contra el fraude de intercambio de SIM.








Enlace a la noticia initial