ciberataque sec

Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

Newsletter 898

*********

Agárrate que vienen curvas.

A primeros de año, el Bitcoin, y con él la mayoría de criptodivisas, tuvieron una espectacular subida de valoración, hasta situarse (el BTC) en algo más de 43.000€.

¿La razón? Algo que muchos ya alertamos que iba a pasar: La aprobación del uso de ETFs de Bitcoin.

Es un tema al que ya le dediqué no solo un artículo, sino también un programa del podcast (arriba enlazado), así que no me voy a repetir mucho.

¿Cuál es el problema? Pues que, aunque en efecto, la SEC va a estar obligada por ley a hacerlo, justo esa noticia era falsa.

Pese a que la estaba dando la propia SEC.

Obviamente, se trataba, como supimos pocas horas después, de un ciberataque.

Alguien había conseguido acceder al sistema de información de la SEC.

La duda es cómo lo consiguieron.

Pues por aquí te lo cuento.

Secuestro de SIM

No es ninguna sorpresa este punto.

Alguien ha conseguido realizar un SIM Swapping a un empleado de la SEC con capacidad para publicar dicho contenido.

¿Que qué es eso del SIM Swapping?

Pues es un tipo de ataque avanzado y dirigido, que lamentablemente está siendo cada vez más habitual.

Es exactamente el mismo que, por ejemplo, usaron para hackear las cuentas de Jezz Bezzos, el fundador de Amazon, o ya puestos.

Básicamente, se trata de conseguir que la operadora de telecomunicaciones contratada por la víctima nos de acceso a un duplicado de la SIM, argumentando, generalmente, la pérdida o extravío del teléfono.

Si cuela (necesitas para ello estar preparado con información suficiente sobre la víctima que permita ganarte la confianza de la persona que está al otro lado del teléfono), de pronto tienes acceso a su número de teléfono.

Y con él, a todo servicio que requiera dicho número para identificarte.

Así pues, alguien consiguió hacerse con el número de teléfono de la SEC, y ya con el número, acceder al sistema de publicación para realizar el ciberataque, y seguramente llevarse unos cuantos millones extra con la compraventa inflada de BTCs.

Medidas de seguridad vs factor humano

Este caso podría haber quedado como un ejemplo más de ataque exitoso de SIM Swapping. Una alerta de lo débiles que somos hoy en día a un posible ataque del que, para colmo, ni tan siquiera podemos hacer algo para remediar (es la operadora quien da el acceso a un tercero, no nosotros).

Pero es que en este ataque en particular se junta otro punto más: La SEC había desactivado la autenticación de múltiples factores en esta cuenta.

¿El motivo? El personal argumentaba problemas de acceso.

Es decir, que por la comodidad de los empleados, se quitó justo la herramienta de seguridad que hubiese evitado el ciberataque.

Con un MFA activo, aunque el ciberatacante hubiera tenido acceso, como fue el caso, al número de teléfono de la víctima, hubiera necesitado también:

  • O conseguir instalarle un spyware que le permitiese abrir aplicaciones en el móvil y acceder a su información.
  • O robarle físicamente el móvil.
  • O realizarle un ataque de ingeniería social para hacerle pensar que estaba dando el código del MFA a alguien de confianza.

Esto es, un ataque muchísimo más complejo de realizar, ya que requiere una serie de pasos extra que no son para nada sencillos.

Pero claro, como los trabajadores se quejaban de que constantemente tenían que pedir ese código de desbloqueo… pues mira, lo desactivamos.

Total… Quién va a querer atacar a la Comisión de Bolsa y Valores norteamericana, ¿verdad?

Como no hay en juego NADA…

El corolario

Todo esto para decirte:

Sí, ya sé que tú no eres el presidente de un gobierno o de una multinacional.

Y sí, ya sé que tu empresa no es la SEC, ni el MIT, ni trabajas para la Interpol.

Pero no cuesta NADA que tengas activo aunque sea un 2FA basado en token.

Y digo basado en token (es decir, esa aplicación que tienes que abrir para ver el código de desbloqueo temporal), y no un 2FA basado en SMS, ya que este segundo, por razones obvias, no protege contra el SIM Swapping.

Y te digo esto no porque alguien quiera atacarte a ti personalmente.

Ya sé que tú, como yo, no somos nadie importante…

Pero es que quizás, haciéndose pasar por ti, sí consiguen acceder a ese proveedor, o a ese cliente, o a ese otro perfil que sí es interesante.

Y en todo caso, el que por ejemplo te dejen a 0 tu cuenta bancaria seguramente que a ti, como a mi, que tampoco es que tengamos millones en ella, pues nos jode igualmente.

No cuesta nada.

Y evitas problemas a futuro.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros