Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

sms phishing

La semana pasada, en el post de la intranet, hablaba de cómo un gigante como Google había apostado por forzar el uso del doble factor de autenticación del SMS clásico a un USB que el trabajador debía llevar consigo para poder trabajar.

Y cómo ello había minimizado drásticamente el impacto de los ataques de phishing a un casi utópico 0%.

Esa misma semana, preparaba una pieza para la edición de Otoño de la revista ETC (la publicaré en su momento, tranquilo) en la que hablaba de cómo la SIM de nuestros dispositivos se ha vuelto un vector de ataque muy lucrativo, habida cuenta de que con ella un atacante puede usurparnos la identidad en cualquier servicio, financieros incluido.

Seguridad del SMS

Y me parafraseo, que queda aún más molón: 

Ese atacante del que hablábamos antes, que ya hemos visto que tenía muy mala uva, puede haber hecho los deberes, y en vez de robarnos el terminal físicamente y encontrar la manera de desbloquearlo, podría robarnos nuestra SIM (EN) desde cualquier lugar del mundo, simplemente sabiendo nuestro nombre y apellidos, nuestro DNI y alguna que otra información extra (entidad bancaria, o fecha de nacimiento, o número de seguridad…).

Algunos de estos datos son difíciles de conseguir, pero es que lo más gracioso es que la mayoría ya están disponibles en la red. Al atacante le habrá bastado revisar nuestros perfiles, obtener dichos datos, llamar a la operadora, y utilizar un poco de ingeniería social (perdona señorita, que he dejado mi móvil en casa, estoy de viaje, y voy a necesitar las próximas horas utilizar mi número) para hijackearnos (porque este es el nombre correcto) la identidad.

Una vez con la SIM en su poder, podría literalmente destruirnos la vida. Chantajes propios y a familiares/conocidos (haciéndose o no pasar por nosotros), robo, modificación y/o destrucción de información confidencial (por ejemplo, de nuestro trabajo), bloqueo de nuestra actividad (podría, paradógicamente, expulsarnos del control de nuestras cuentas, productos y servicios que utilizamos a diario).

Joder, si antes lo digo…

A finales de la semana pasada sabíamos que Reddit había sido comprometida (EN).

¿El ataque? Comprometer la cuenta de algunos trabajadores en base a la debilidad que han demostrado tener los tokens de autenticación basados en SMS.

De ahí, filtrar la base de datos de usuarios antiguos (creados entre 2005 y 2007), con los hashes de las contraseñas y mensajes privados incluidos.

Y me temo que es algo que empezaremos a ver cada vez más.

Un recordatorio para que poco a poco vayamos migrando hacia segundos factores de autenticación basados en tokens vía app (Google Authenticator funciona muy bien), o quien quiera que apueste por el USB-ID.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros