Hace unos días, Twitter informó que había sido hackeada la cuenta de Jack Dorsey, presidente de esa compañía. Durante 20 minutos, un delincuente tomó el control de su cuenta de Twitter (@jack) y publicó docenas de comentarios nazis y racistas.
El incidente seguramente impactó bastante a Dorsey, ya que él ha embarcado a su empresa en una lucha por frenar los extremismos y la agresividad que se vive en Twitter. De hecho, el trino que tiene fijado en su cuenta habla de eso: “En Twitter nos hemos comprometido a ayudar a incrementar la salud, la apertura y la civilidad de la conversación pública”.
Pocos días antes del hackeo a Dorsey, algo similar había ocurrido con las cuentas en redes sociales de varias celebridades estadounidenses, entre ellas la actriz Jessica Alba, además de varios comediantes y youtubers.
Que los delincuentes hackeen las cuentas de personajes públicos no es noticia. Lo que generó preocupación es que en todos esos casos usaron la misma técnica, el cambio de SIM, y contra ese mecanismo hay pocas defensas. Ese tipo de ataque deja sin piso una de las medidas de seguridad con la que los usuarios nos sentíamos más tranquilos: la autenticación de dos pasos.
La autenticación de dos pasos es un sistema que aumenta la seguridad de las cuentas en Internet, ya que exige que, además de su contraseña, el usuario introduzca un código numérico que le mandan al teléfono cada vez que intenta ingresar a su cuenta. Eso hace que las cuentas de Internet y los servicios financieros en línea sean muy seguros, ya que, aunque alguien averigüe su contraseña, el delincuente no podrá acceder a su cuenta a menos que tenga su celular para ver el código de verificación. Por esa razón, hoy en día la mayoría de servicios de Internet ofrecen y promueven la autenticación de dos pasos.
Pero los delincuentes encontraron una fórmula para evadir esa medida de seguridad. Ellos entendieron que no necesitan adueñarse del celular de las personas, sino de sus líneas telefónicas. Así que se están haciendo pasar por los dueños de las líneas celulares para pedirles a los operadores de telefonía que les remplacen su tarjeta SIM por una nueva.
Luego de introducir esa SIM en un teléfono nuevo, el hacker usa la opción que ofrecen los sitios web de restablecer las contraseñas de las cuentas, un método que generalmente implica el envío de un código de seguridad al celular de la persona.
Un artículo del diario The New York Times dice que, para lograr su objetivo, los delincuentes han usado técnicas de ingeniería social (convencer a la gente con mentiras), como llamar a las líneas de atención al cliente de operadores como T-Mobile y AT&T para pedir los cambios de SIM, haciéndose pasar por los dueños de las líneas. Pero en otros casos también han sobornado a empleados de esas empresas.
Allison Nixon, directora de investigaciones de la firma de seguridad Flashpoint, le dijo a ese periódico: “He estado investigando el submundo criminal durante mucho tiempo, y el cambio de SIM me molesta más que nada. No requiere ninguna habilidad, y literalmente no hay nada que la persona promedio pueda hacer para detenerlo”.
Los operadores deben actuar
El cambio de SIM no es una técnica de hackeo nueva; se usa desde hace años, pero en los últimos meses se ha visto un incremento preocupante. Además, no solo se está utilizando para adueñarse de las cuentas en redes sociales de celebridades, sino también para cometer fraudes financieros, según ese diario.
Entre las principales víctimas están los propietarios de criptomonedas como el bitcoin. Ellos son más vulnerables que los usuarios de servicios financieros tradicionales, ya que un cliente de un banco puede conseguir que le devuelvan su dinero si el banco concluye que se produjo un fraude. En cambio, el dueño de bitcoins no tiene ante quién acudir: una vez se realiza la transacción, su dinero está perdido para siempre.
¿Qué se puede hacer? Los expertos consultados por medios estadounidenses coinciden en que la solución está en manos de los operadores. Una opción, por ejemplo, es que las personas tengan una clave privada que deban suministrar cuando se comuniquen con las líneas de atención al cliente para pedir remplazos de SIM. Otros creen que hasta esa medida podría ser inocua si los delincuentes sobornan a los empleados de esas empresas.
Por lo pronto, habrá que esperar que los operadores se concienticen de este problema, que puede tener graves consecuencias para la seguridad de todos los usuarios de Internet.
Imagen: Pixabay
