Recicla tu teléfono, claro, pero tal vez no sea tu número: Krebs on Safety


Muchos servicios en línea permiten a los usuarios restablecer sus contraseñas haciendo clic en un enlace enviado a través de SMS y, lamentablemente, esta práctica generalizada ha convertido los números de teléfono móvil en documentos de identidad de facto. Lo que significa que perder el manage sobre uno debido a un divorcio, la terminación del trabajo o una disaster financiera puede ser devastador.

Aun así, muchas personas abandonan voluntariamente un número de teléfono móvil sin considerar las posibles consecuencias de sus identidades digitales cuando esos dígitos invariablemente se reasignan a otra persona. Una nueva investigación muestra cómo los estafadores pueden abusar de los sitios website de los proveedores de servicios inalámbricos para identificar los números móviles reciclados disponibles que permiten restablecer las contraseñas en una variedad de proveedores de correo electrónico y servicios financieros en línea.

Investigadores del departamento de informática de Universidad de Princeton dicen que tomaron muestras de 259 números de teléfono en dos principales proveedores de servicios inalámbricos y encontraron que 171 de ellos estaban vinculados a cuentas existentes en sitios web populares, lo que podría permitir que esas cuentas fueran secuestradas.

El equipo de Princeton descubrió además que 100 de esos 259 números estaban vinculados a credenciales de inicio de sesión filtradas en la world-wide-web, lo que podría permitir secuestros de cuentas que anulan la autenticación multifactor basada en SMS.

«Nuestro hallazgo clave es que los atacantes pueden aprovechar el reciclaje de números para apuntar a los propietarios anteriores y sus cuentas», escribieron los investigadores. “Las tasas de acierto de moderadas a altas de nuestros métodos de prueba indican que la mayoría de los números reciclados son vulnerables a estos ataques. Además, al centrarse en bloques de números probablemente reciclados, un atacante puede descubrir fácilmente los números reciclados disponibles, cada uno de los cuales se convierte en un objetivo potencial «.

Los investigadores localizaron números móviles recién reciclados navegando por los números puestos a disposición de los clientes interesados ​​en registrarse para obtener una cuenta prepaga en T-Mobile o Verizon (aparentemente AT&T no proporciona una interfaz very similar). Dijeron que pudieron identificar e ignorar grandes bloques de números nuevos y sin usar, ya que estos bloques tienden a estar disponibles consecutivamente, al igual que el dinero recién impreso se numera consecutivamente en pilas.

El equipo de Princeton tiene una serie de recomendaciones para T-Cellular y Verizon, señalando que ambos operadores permiten consultas ilimitadas en sus plataformas de clientes prepagas en línea, lo que significa que no hay nada que impida a los atacantes automatizar este tipo de reconocimiento de números.

«En las interfaces de pospago, Verizon ya tiene medidas de seguridad y T-Cellular ni siquiera admite el cambio de números en línea», escribieron los investigadores. «Sin embargo, el grupo de números se comparte entre pospago y prepago, lo que hace que todos los suscriptores sean vulnerables a los ataques».

También recomiendan que los operadores enseñen a sus empleados de soporte a recordarles a los clientes sobre los riesgos de ceder un número de teléfono móvil sin desconectarlo primero de otras identidades y sitios en línea se ofreció un consejo que generalmente no encontraron al interactuar con el servicio de atención al cliente con respecto a los cambios de número.

Además, los operadores podrían ofrecer su propio servicio de «estacionamiento de números» para los clientes que saben que no necesitarán el servicio telefónico durante un período de tiempo prolongado, o para aquellos que simplemente no están seguros de lo que quieren hacer con un número. Este tipo de servicios ya los ofrecen empresas como Número de granero y Aparcar mi teléfonoy, por lo normal, cuestan entre 2 y 5 dólares al mes.

El estudio de Princeton recomienda a los consumidores que están considerando un cambio de número, en su lugar, almacenar los dígitos en un servicio de estacionamiento de números existente o «transferir» el número a algo como voz de Google. Por una tarifa única de $ 20, Google Voice le permitirá transferir el número y luego podrá continuar recibiendo mensajes de texto y llamadas a ese número a través de Google Voice, o puede reenviarlos a otro número.

Portar parece menos complicado y potencialmente más seguro considerando el usuario promedio tiene alrededor de 150 cuentas en líneay una gran cantidad de esas cuentas estarán vinculadas al número de teléfono móvil de uno.

Mientras lo hace, considere eliminar su número de teléfono como mecanismo de autenticación principal o secundario siempre que sea posible. Muchos servicios en línea requieren que proporciones un número de teléfono al registrar una cuenta, pero en muchos casos ese número se puede eliminar de tu perfil posteriormente.

También es importante que las personas usen algo diferente a los mensajes de texto para la autenticación de dos factores en sus cuentas de correo electrónico cuando estén disponibles opciones de autenticación más sólidas. Considere, en cambio, usar una aplicación móvil como Authy, Dúo, o Autenticador de Google para generar el código de una sola vez. O mejor aún, una llave de seguridad física si esa es una opción.

El estudio completo de Princeton está disponible aquí (PDF).



Enlace a la noticia unique