Tecnología

Un SMS podría dejar vacía la cuenta bancaria

En los últimos años, los servicios online y financieros establecieron un sistema de doble autenticación para mejorar la seguridad de sus usuarios. Es una medida extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder.

Los sistemas de doble factor de autenticación son mucho más seguros que las contraseñas. En el mes de enero, Metro Bank de Reino Unido confirmó a la web Motherboard que algunos de sus clientes habían sido víctimas de un ataque tipo SS7 por el que interceptaban los mensajes SMS con código que los bancos enviaban a sus clientes para autenticar una transacción.

Hasta este día, el sector financiero sigue confiando en este tipo de mensajes y se han convertido en el objetivo preferido de los ciberdelincuentes para acceder a las cuentas bancarias. Alemania se sumó al ataque de Reino Unido en 2017.

Aprovechando un error en el protocolo SS7, los ciberdelicuentes pueden acceder a los mensajes de distintas formas. Este tipo de ataque es posible en tanto que a la red SS7 no le importa quién envía la solicitud, si los ciberdelincuentes consiguen superar los sistemas de seguridad, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas.

Gran parte de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7, interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono.

Obtienen el usuario y contraseña de la banca ‘online’, probablemente a través de ‘phishing’, ‘keylogger’ o troyanos bancarios. Entonces, inician sesión en la banca ‘online’ y solicitan una transferencia.

Los bancos la aceptan la como legítima, ya que la transacción se ha autorizado dos veces: con la contraseña del cliente y con el código de un solo uso. El dinero acaba en manos de los delincuentes.

Los expertos en seguridad afirman que esto se podría evitar si los bancos utilizan autenticación de doble factor que no dependa de los mensajes de texto.

Comment here