Hechos clave:
-
El atacante engañó a proveedores de servicios para controlar la tarjeta SIM de la víctima.
-
Esta estrategia de fraude con criptomonedas viene tomando auge desde el año 2017.
Un ingeniero en computación relata la forma en que perdió USD 100.000 en criptomonedas a través de un hackeo a la tarjeta SIM de su teléfono. Este tipo de ataque es también conocido como fraude de intercambio de SIM, mediante el cual los piratas informáticos tuvieron acceso a su cartera en Coinbase.
El jefe de ingenieros de BitGo, Sean Coonce, cuenta su historia en un escrito publicado este 20 de mayo en Medium. Allí señala que el hackeo o «ataque de puerto SIM» (SIM port attack, en inglés) fue perpetrado en un lapso de 24 horas y que ahora el atacante maneja su cuenta de criptomonedas en la casa de cambio.
Agrega que, al relatar su experiencia, pretende compartir las lecciones aprendidas con la mayor cantidad de personas posible, para así elevar el nivel de conciencia del público sobre este tipo de ataques. La idea es motivar para que se tomen más medidas de seguridad en el manejo de la identidad en línea.
Coonce explica que el ataque de puerto SIM o fraude de intercambio de SIM es un proceso mediante el cual el atacante engaña a un proveedor de servicios de telecomunicaciones para que transfiera el número de teléfono de un determinado suscriptor (la víctima) a una tarjeta colocada en un dispositivo que está bajo su control. Así, logra restablecer las contraseñas y accede a sus cuentas en línea.
Este servicio, ofrecido por la mayoría de los proveedores de telefonía móvil, es aprovechado por los delincuentes para realizar los ataques de puerto SIM, los cuales suelen iniciarse a partir del hackeo de un correo electrónico, tal como relata el inversionista de esta historia.
Una vez que el atacante controla su cuenta de correo electrónico principal, comienzan a moverse lateralmente a través de los servicios en línea lucrativos que administra a través de esa dirección de correo electrónico (cuentas bancarias, cuentas de redes sociales, etc.). Si son terriblemente dañinos, incluso pueden bloquearle el acceso a sus propias cuentas, con pocos recursos para recuperarlas.
Sean Coonce, Jefe de ingenieros. BitGo.
El ataque en varios pasos
Según narra Coonce, el ataque inició cuando el hacker logró trasladar su número de teléfono a una tarjeta SIM instalada en un dispositivo bajo su posesión. Para ello hizo la solicitud de cambio ante el proveedor del servicio.
Luego de recibir la autorización, utilizó la tarjeta SIM para restablecer el acceso a la cuenta de Google de la víctima, mediante el proceso de autenticación en dos factores (2FA) basado en mensajes SMS, cambiando también la contraseña. Posteriormente, usó el correo para iniciar el procedimiento de recuperación de la contraseña de la cuenta de criptoactivos en Coinbase.
Al final, tanto el correo electrónico como la cartera de criptomonedas fueron manipuladas por el ciberdelincuente para realizar varias transacciones. Con ello pudo transferir o gastar los fondos, vaciando rápidamente la cuenta de su víctima.
Esta estrategia de fraude con criptomonedas ha tomado auge desde el año 2017, cuando en Estados Unidos se reportó una creciente cantidad de ataques mediante llamadas a las empresas Verizon, T-Mobile US, Sprint y AT&T, en las que se les pedía transferir el control del número de teléfono a otro dispositivo bajo el control de los hackers. El año pasado el inversionista estadounidense Michael Terpin presentó una demanda de USD 224 millones contra AT&T, luego de ser víctima de un fraude de este tipo, mientras esta empresa era su proveedora de servicios.
Algunas recomendaciones
Como parte de sus reflexiones, Coonce plantea varias alternativas para resguardar los criptoactivos y evitar ser víctimas de estos ataques, entre ellas aconseja el uso de carteras frías y el almacenamiento fuera de línea. Además, alerta sobre las deficiencias del proceso de autenticación 2FA basado en SMS, por lo cual recomienda utilizar algún tipo de hardware de autenticación que pueda ser manejado físicamente.
Adicionalmente, menciona el servicio de Google Voice 2FA como opción para establecer un número de recuperación de autenticación de 2 factores que no utilice tarjeta SIM. También propone a los usuarios crear cuentas de correo electrónico secundarias, evitar compartir muchos datos personales en Internet y usar un administrador de contraseñas sin conexión.
