Juan Zamorano me pasaba por LinkedIn hace ya unas semanas una pieza de Sean Coonce en Medium (EN) en la que este chico explicaba cómo le habían robado el pasado miércoles 100.000 dólares mediante un ataque de clonado/port de SIM. Lo que en el argot técnico se llama SIM swapping.
Por esos lares ya he explicado en más de una ocasión cómo funcionan este tipo de ataques, que se basan en el mismo paradigma que cualquier usurpación de identidad, solo que utilizando a un intermediario (el operador) como Caballo de Troya:
- El atacante obtiene mediante OSINT (búsqueda en fuentes abiertas como redes sociales, buscador…) la información sobre la víctima que necesita para realizar el ataque.
- Con ella, se hace pasar por la víctima en un proveedor de servicio intermediario. En este caso, el operador de telecomunicaciones que le suministra la tarjeta del móvil, aludiendo a que se la han robado/la ha extraviado.
- El operador llevará a cabo vía telefónica una serie de comprobaciones, que en España normalmente tienen que ver con saber el NIF, nombre completo y el banco con el que opera la víctima, y en algunos países como EEUU con un nivel de seguridad muchísimo más laxo, incluso menos.
- El atacante responde correctamente a todas sus preguntas (ingeniería social, vaya), y con ello consigue transferir la SIM de la víctima a otro terminal que está bajo su control.
- Lo demás supongo que ya te lo habrás imaginado, pero si no es así, por aquí te lo repito.
El nexo de unión…
A efectos prácticos, nuestro número de teléfono y nuestra cuenta de correo son nuestros elementos de identificación en Internet. Es lo que en su día definí como el nexo de unión entre nuestra identidad física y la digital.
Con el número de teléfono ya en posesión del atacante, éste puede «recuperar» la contraseña de nuestra cuenta de correo, y una vez la tiene, cambiarla (para que no podamos acceder a nuestra propia cuenta).
Con estos dos elementos el atacante es, a efectos prácticos, el usuario.
Con el correo y el número de teléfono, ya puede acceder a todos y cada uno de los servicios que utiliza la víctima. Y en este caso en particular, entre los servicios afectados lo primero que hizo fue entrar en su cartera de Coinbase (una cartera bastante conocida de criptodivisas), de donde salieron esos 100.000 dólares que tenía el chaval (se dedica básicamente a esto).
Ya no solo eso, sino que directamente el atacante tiene control absoluto de toda tu vida.
Una vez que el atacante controla tu email principal, puede moverse de una a otra cuenta en servicios online lucrativos en los que te hayas logueado con ese email (cuentas bancarias, redes sociales…). Y si es todavía más cabrón, puede forzarte a pagar por recuperar el acceso a las mismas o realizar fraudes y/o extorsiones a tus amigos y familiares.
Párate un momento a considerar el enorme volumen de información sensible que tienes en tu cuenta de Google/iCloud, y que analizo en profundidad en el Curso De Fundamentos de la Presencia Digital Sana:
- Tu dirección, edad de nacimiento y otros datos privados.
- Acceso completo a todas tus fotos, pudiendo haber entre ellas fotos comprometidas tuyas (o de tu pareja).
- Acceso a tu calendario y futuros viajes.
- Acceso a tus emails, documentos e histórico de navegación y de localización.
- Acceso a toda tu agenda, familiares y contactos profesionales incluidos.
- Acceso al resto de servicios que utilizan tu cuenta de correo como usuario (que son prácticamente todos).
Pues todo esto, pero para fines maliciosos…
Timeline de eventos en un ataque de SIM Port con tu número de teléfono
El ataque empezó a las 10 AM del martes, momento en el que el chico se dio cuenta de que no podía acceder desde su teléfono a su calendario.
En apenas 5 minutos el smartphone se había deslogueado de su cuenta, y al intentar acceder a ella la contraseña ya no funcionaba.
En tres cuartos de hora, mientras el chico estaba totalmente confundido (¿será una caída de los servicios de Google?), el atacante ya había pedido el cambio de contraseña en Coinbase, cuyo segundo factor por supuesto ya no llegó a su número de teléfono ya que la SIM había sido robada.
La víctima tardó casi un día entero en percatarse de que algo realmente malo estaba pasando. Que esto no era una mera caída del servicio. Y que de hecho ya no tenía control sobre la SIM de su terminal.
Habló con la operadora, que le informó de que en efecto se había transferido su SIM a otro dispositivo.
Una vez pudo confirmar que era él el legítimo dueño, recuperó el número y con él su cuenta de correo, para ya darse cuenta de que los fondos de su cartera digital habían sido enviados a otra cartera fuera de Coinbase.
En total el atacante necesitó menos de una hora para realizar el ataque, y se fue con 100.000 dólares de beneficio. La víctima, entre la confusión y la espera esperable en este tipo de situaciones (lo normal es pensar que se trata de un error informático y que se solucionará con el tiempo) tardó dos días en darse cuenta de la magnitud total del ataque.
¿Qué puedes hacer para minimizar el daño?
La primera parada está aquí para tranquilizar, y es que si bien en efecto vemos que es un ataque real (no es una utopía de laboratorio ni un paper universitario), lo cierto es que estamos ante un ataque dirigido. Es decir, que ALGUIEN tiene que tener los conocimientos y las ganas de atacarte justo a ti.
Este tipo de ataques no pueden automatizare. Requieren que haya alguien que te seleccione como objetivo. Y esto es bueno por un lado (no es tan fácil que te seleccionen a ti entre los millones de usuarios que pululamos por el mundo) y malo por otro, ya que contra un ataque dirigido no siempre es sencillo protegerse. Aquí entra en juego el haber hecho bien los deberes con anterioridad, ser conocedor de los riesgos digitales, y tener una presencia digital lo más robusta posible.
La segunda parada es que como ya expliqué en su día, los segundos factores de autenticación basados en SMS han demostrado ser vulnerables a un ataque de este estilo.
Por supuesto, y como digo siempre en mis charlas y talleres, es muchísimo más seguro que tengas un segundo factor de autenticación basado en SMS activo que no tengas ningún segundo factor de autenticación. Pero a la hora de elegir entre uno basado en SMS, y otro basado en token, lo recomendable es apostar por este segundo.
El chaval anima en el artículo a utilizar 2FA basado en un dispositivo propio, que es a fin de cuentas lo que yo propongo utilizando una app como la de Ciberprotector (ES) en el smartphone, solo que teniendo que comprar un aparatito extra que tendríamos que llevar siempre con nosotros en el bolsillo (normalmente junto a las llaves).
Y por último está el punto más complicado de llevar a cabo, que es el de separar dentro de lo que cabe el control de nuestra identidad digital en diferentes cuentas, tanto de correo como de número de teléfono.
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Un servidor es cierto que aunque la primera parte sí la cumplo (ya expliqué que tengo tres cuentas principales y las utilizo para diferentes objetivos), la segunda no. Y es, a fin de cuentas, una debilidad que podría llevarme el día de mañana a vivir una situación tan terrible como la que le ha tocado vivir al bueno de Sean.
Espero que te sirva de ejemplo para tomar acción lo antes posible. Tener bien parametrizadas nuestras cuentas, y ser conscientes de qué hemos expuesto en Internet y qué no puede marcar la diferencia entre seguir disfrutando de las ventajas de Internet, o sufrir las consecuencias de una usurpación de identidad.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
Igual de importante es no tener nuestro móvil sin ningún tipo de seguridad, porque si nos lo sustraer un par de horas, y con los deberes hechos, el atacante tendrá acceso a SIM y SMS sin tener que llamar a ningún operador.
Totalmente. Es más, yo tengo hasta quitada la visualización de notificaciones en la pantalla de bloqueo. Porque ya me dirás de qué sirve tener un bloqueo de terminal si el atacante puede leer el 2FA directamente desde esta pantalla…
Por supuesto y no nos olvidemos del smartwatch… que también lo muestra todo.
Como se activa la actualización mediante token
Pues dependemos primero de que el servicio lo ofrezca Francesc. Si es así, se utilizan aplicaciones de terceros como Ciberprotector o Google Authenticator, y lo más habitual es que tengas que con esta aplicación leer un código QR. A partir de entonces en vez de enviarte un SMS, tendrás que revisar esa aplicación para ver el código temporal que tienes creado.