Durante algún tiempo, piratas cibernéticos han estado robando millones de dólares en Bitcoin y otras criptomonedas usando números telefónicos utilizando el cada vez más común sistema de verificación de dos pasos, debido a que con este método es bastante fácil robar una identidad personal.
La 2FA (Two-Factor Autentication), en español verificación de dos pasos, es uno de los métodos más recientes y “seguros” para la mayoría de las cuentas en línea. Tanto en redes sociales como en otro tipo de servicios se está utilizando este tipo de verificación para recuperar contraseñas y lograr acceder a la cuenta.
Esta verificación funciona de manera que el sistema posea un número telefónico de contacto y algún otro dato privado confidencial del usuario, como la respuesta particular a una pregunta secreta, para que el usuario pueda acceder a su cuenta tras haber extraviado la contraseña.
Una vez realizada la notificación de extravío de la contraseña, la plataforma enviará un código de recuperación para restablecer la contraseña o realizar alguna otra acción todo sin mayor complicación. Este método suena como muy seguro si el usuario tiene acceso al número telefónico, pero si no es así se corre un gran peligro. Y si se usado autenticación de dos pasos para proteger una cartera de criptomonedas, tienes muchas posibilidades de ser víctima de robos.
Este mes de diciembre, la revista Forbes relató varios ejemplos de victimas relacionadas con el mundo de las criptomonedas, entre los cuáles se encuentran mineros, usuarios y representantes de casas de cambio.
A las victimas les fueron robadas grandes sumas de dinero en Bitcoin y otras criptomonedas como Ethereum y Monero. Uno de los casos más impactantes fue el de Jered Kenna, un ciudadano colombiano que perdió millones de dólares cuando el 11 de agosto –según el reporte de Forbes– se le notificó el cambio de las contraseñas de sus correos electrónicos, por lo que intentó restablecerlas con un código enviado a su teléfono móvil; sin embargo el código nunca llegó, por lo que llamó a la compañía telefónica, y esta le respondió que ya no tenía ningún número con ellos pues había sido transferido a otra compañía.
Evidentemente Jared no había transferido nada, pero este es solo un caso. Básicamente, muchos hackers han utilizado la 2FA para lograr el acceso a todas las cuentas del usuario en cuestión, lo único que necesitan obtener es el número telefónico.
Seguidamente, el criminal transfiere el número a otra compañía y recibe el código de verificación, a partir de esto puede obtener toda la información que necesite; incluyendo –y sobre todo- la que tenga que ver con monederos digitales, ya que es el mayor objetivo de los robos.
Así mismo, el hacker también puede llamar a la compañía telefónica y responder las preguntas obteniendo información de las redes sociales de la víctima; de hecho, no necesita mayores conocimientos en computación para hacer todo eso, como se suele creer con los hackeos.
El tema de seguridad en relación al mundo de las criptomonedas es extenso y de suma importancia, y en el reportaje de Forbes se señala que los ataques como el antes dicho, han ido en aumento:
En enero de 2013, la Comisión Federal de Comercio recibió 1.038 informes de estos incidentes, lo que representa el 3,2% de todos los informes de robo de identidad a la FTC ese mes. En enero de 2016, 2.658 incidentes de este tipo se presentaron -el 6,3% de todos los informes de ese mes.
Comisión Federal de Comercio
Como resultado, la verificación en dos pasos en definitiva no es tan segura. No obstante, hay otras alternativas y recomendaciones para la 2FA. Igualmente –y por suerte–, algunas casas de cambio como Coinbase tienen otras opciones de seguridad además del número telefónico, otras han pensado en eliminar este método, aunque quizá no sea mejor que no usar ninguno.
Por otro lado, todo esto ha evidenciado la falta de seguridad en las compañías de telecomunicaciones, puesto que hay casos en los que el empleado de servicios al cliente ha olvidado pedir algún dato o verificarlo, facilitándole enormemente el acceso al criminal que está usurpando la identidad de su víctima. Dicho de otro modo, las empresas telefónicas dan prioridad a la venta del producto y la “buena” atención más que proveer verdadera seguridad.