La verificación en dos pasos (2FA, Two-Factor Autentication) es un método que ofrecen diversos servicios como redes sociales, e incluso las casas de cambio de criptomonedas, para que el usuario pueda recuperar su contraseña en caso de haberla extraviado. Para usar este método, el sistema debe poseer el número telefónico del usuario y, en ocasiones, un dato secreto de él, de manera tal que el beneficiario pueda pedir un código de recuperación, el que es enviado a su teléfono después de haber verificado con éxito sus datos.
A pesar de que este procedimiento de recuperación parezca bastante seguro, en realidad los hackers han estado sacando provecho de él para interferir en cuentas en casas de cambio. El método es confiable siempre y cuando el dueño de la cuenta sea el que tenga acceso a su número telefónico, en caso contrario, se convierte en un problema. El modo de operar de los hackers es obtener el número del objetivo, llamar a la compañía telefónica correspondiente, hacerse pasar por él al otorgar los datos requeridos, que suelen ser muy básicos, y transferir la cuenta a otra empresa de telefonía. A continuación piden los datos de recuperación de la cuenta de correo, donde suelen estar los datos requeridos para iniciar sesión en los monederos digitales.
Cody Brown
Cody Brown, el fundador de una compañía de realidad virtual en Nueva York llamada IRL, detalló paso a paso en su blog cómo perdió 8 mil dólares en criptomonedas en tan sólo 15 minutos el 23 de mayo de este año. Para relatar lo sucedido se respalda en imágenes tomadas de su teléfono y cuenta de Twitter.
A las 11:31 de la noche recibió un mensaje de su compañía telefónica, Verizon, diciendo que estaba en línea con ellos y que acababa de hacer el proceso de autenticación con un método alternativo, y que de no ser así debía llamar al número indicado. Inmediatamente llamó, sin embargo, recibió como respuesta la voz de un robot informando que estaban cerrados a esa hora, a pesar de haber pulsado la tecla correspondiente para hablar con algún operador. En seguida le llegó una copia del mismo mensaje:
Sucesivamente, Browm escribió a la cuenta de Twitter de la compañía adjuntando la foto del mensaje. Mientras esperaba la respuesta, buscó sin éxito en Google un número para contactar a Verizon en caso de fraude.
A las 11:37 pm la compañía contestó a través de Twitter que no podía ver la imagen, y Brown les escribió en respuesta el texto de la misma; y unos minutos después señaló que alguien debía estar haciéndose pasar por él.
plz respond. I don’t understand how I could get this text if your offices are closed. someone seems to be on the phone claiming they are me.
— Cody Brown (@CodyBrown) 24 de mayo de 2017
A las 11:40 pm su cuenta de Gmail cerró sesión, y a las 11:41 vio en tiempo real cómo era reseteada su contraseña de Coinbase, una gran casa de cambio, después de haber sido confirmado el acceso desde un nuevo dispositivo a las 11:34. A continuación se realizaron 3 transferencias de salida de 1.18 BTC, 70.96 LTC y 16.03 ETH.
Más fácil que robar un banco
Con esta experiencia, concluyó que a pesar de haber maneras para tener protegidas las cuentas relacionadas con el ecosistema de criptomonedas, los nuevos integrantes no saben acceder a los métodos de seguridad, por lo que son especialmente vulnerables. De esta forma, las empresas involucradas en la autenticación de dos pasos (la telefónica y la plataforma del servicio en cuestión), deberían comenzar a tener medidas de seguridad más estrictas.
Después de haber hablado con un empleado de atención al cliente de Verizon, Brown se dio cuenta de lo poco preparada que está la empresa para los casos de fraude. Aprendió que un criminal no necesita dar información relevante como el número de su seguro social para poder hacerse pasar por alguien; con datos obtenidos de facturas es suficiente para lograrlo. Su reacción con respecto a este hecho fue:
Esto hizo volar mi mente y parecía negligente más allá de toda razón posible, pero es lo que hacen. Lo principal que llamó mi atención fue la velocidad de extracción posible en el actual ecosistema de las criptomonedas. $8,000 en 15 minutos es más rápido y más lucrativo que robar un banco suburbano.
Cody Brown
Fundador
Recomendaciones
Por otro lado, da ejemplos de las acciones que podrían tomar los involucrados para prevenir el hackeo, o al menos dificultarlo.
Las sugerencias a Verizon inician con añadir más capas de seguridad para aquellos que llamen para solicitar el cambio de su número a otra operadora, ya que obtener la información actualmente necesaria es relativamente fácil. Luego presenta la idea de hacer de los mensajes SMS que llegan algo más que simples notificaciones y poder cancelar acciones a través de ellos. Además, pide hacer visible el número de contacto en caso de fraude.
Para Coinbase recomienda poner como requisito el Autenticador de Google para almacenar cualquier tipo de monedas en la plataforma, especialmente para los nuevos usuarios; tener una línea 24/7 de atención al cliente para estas situaciones; y limitar el ingreso de más usuarios hasta que haya los recursos suficientes de soporte para todos. Además, pide la creación de una póliza de seguros para cuentas personales, aunque sea algo vulnerable, y encarga hallar un método para hacerla viable.
Por último, advierte a los nuevos usuarios en este ecosistema que es importante evitar divulgar información sobre sus transacciones e identidad real en la web. También habla sobre tener un correo electrónico exclusivo y secreto para los monederos digitales, y en caso de querer seguir guardando las criptomonedas en Coinbase, hay que asegurarse de guardar el dinero en la bóveda para al menos retrasar los movimientos no deseados un par de días.
Cody Brown fue sólo una víctima de otros casos de hackeo similares en el ecosistema Bitcoin, sin embargo, es importante tomarlo en cuenta ya que su experiencia le dio como resultado la creación de una entrada en su blog que puede ser muy útil para aquellos que comienzan a involucrarse en el medio.
5
4.5
Pues a mi lo que me parece es que en Verizon son unos chapuzas de cuidado
Yo siempre he odiado los nuevos sistemas de autentificación en 2 pasos, porque los nuevos,antes tu 2º nivel de verificación era el correo ahora es como si lo ignoraran, si tengo la posibilidad ignoraré ese sistema es horrendo, prefiero hacer lo que siempre he hecho y tener un correo de alta seguridad para esas cosas, por ejemplo Steam que tiene bastante bien los 2 sistemas una vez te creas una cuenta y activas Steam Guard (activado por defecto, aunque se puede desactivar si se quisiera) manda un código de acceso cada vez que se inicia sesión en un sitio diferente al inmediatamente anterior a no ser que esté marcado de antes como equipo de confianza, puedes usar el correo o el móvil aunque me salga el mensaje de que me sugiere el móvil paso porque es peor, más inseguro e igual de cómodo, yo puedo tener la aplicación de mi correo seguro en el móvil y en un pispas puedo mirar el código en lugar de hacerlo por una aplicación dedicada para recibir códigos o los SMS si te roban el móvil haber la que tienes que liar para desacreditar tu aplicación de códigos de verificación, con SMS (aunque las aplicaciones de códigos siguen siendo tan bobas como para mandar una notificación normal al teléfono) basta con pedir el código estar al lado de la persona deseada y ver la notificación en su pantalla de bloqueo por no hablar que te la pueden liar como le ha pasado a este tío, con un correo de alta seguridad bien configurado no hay nadie por quien se puedan hacer pasar
4