La verificación en dos pasos (2FA, Two-Factor Autentication) es un método que ofrecen diversos servicios como redes sociales, e incluso las casas de cambio de criptomonedas, para que el usuario pueda recuperar su contraseña en caso de haberla extraviado. Para usar este método, el sistema debe poseer el número telefónico del usuario y, en ocasiones, un dato secreto de él, de manera tal que el beneficiario pueda pedir un código de recuperación, el que es enviado a su teléfono después de haber verificado con éxito sus datos.
A pesar de que este procedimiento de recuperación parezca bastante seguro, en realidad los hackers han estado sacando provecho de él para interferir en cuentas en casas de cambio. El método es confiable siempre y cuando el dueño de la cuenta sea el que tenga acceso a su número telefónico, en caso contrario, se convierte en un problema. El modo de operar de los hackers es obtener el número del objetivo, llamar a la compañía telefónica correspondiente, hacerse pasar por él al otorgar los datos requeridos, que suelen ser muy básicos, y transferir la cuenta a otra empresa de telefonía. A continuación piden los datos de recuperación de la cuenta de correo, donde suelen estar los datos requeridos para iniciar sesión en los monederos digitales.
Cody Brown
Cody Brown, el fundador de una compañía de realidad virtual en Nueva York llamada IRL, detalló paso a paso en su blog cómo perdió 8 mil dólares en criptomonedas en tan sólo 15 minutos el 23 de mayo de este año. Para relatar lo sucedido se respalda en imágenes tomadas de su teléfono y cuenta de Twitter.
A las 11:31 de la noche recibió un mensaje de su compañía telefónica, Verizon, diciendo que estaba en línea con ellos y que acababa de hacer el proceso de autenticación con un método alternativo, y que de no ser así debía llamar al número indicado. Inmediatamente llamó, sin embargo, recibió como respuesta la voz de un robot informando que estaban cerrados a esa hora, a pesar de haber pulsado la tecla correspondiente para hablar con algún operador. En seguida le llegó una copia del mismo mensaje:
Sucesivamente, Browm escribió a la cuenta de Twitter de la compañía adjuntando la foto del mensaje. Mientras esperaba la respuesta, buscó sin éxito en Google un número para contactar a Verizon en caso de fraude.
A las 11:37 pm la compañía contestó a través de Twitter que no podía ver la imagen, y Brown les escribió en respuesta el texto de la misma; y unos minutos después señaló que alguien debía estar haciéndose pasar por él.
plz respond. I don’t understand how I could get this text if your offices are closed. someone seems to be on the phone claiming they are me.
— Cody Brown (@CodyBrown) 24 de mayo de 2017
A las 11:40 pm su cuenta de Gmail cerró sesión, y a las 11:41 vio en tiempo real cómo era reseteada su contraseña de Coinbase, una gran casa de cambio, después de haber sido confirmado el acceso desde un nuevo dispositivo a las 11:34. A continuación se realizaron 3 transferencias de salida de 1.18 BTC, 70.96 LTC y 16.03 ETH.
Más fácil que robar un banco
Con esta experiencia, concluyó que a pesar de haber maneras para tener protegidas las cuentas relacionadas con el ecosistema de criptomonedas, los nuevos integrantes no saben acceder a los métodos de seguridad, por lo que son especialmente vulnerables. De esta forma, las empresas involucradas en la autenticación de dos pasos (la telefónica y la plataforma del servicio en cuestión), deberían comenzar a tener medidas de seguridad más estrictas.
Después de haber hablado con un empleado de atención al cliente de Verizon, Brown se dio cuenta de lo poco preparada que está la empresa para los casos de fraude. Aprendió que un criminal no necesita dar información relevante como el número de su seguro social para poder hacerse pasar por alguien; con datos obtenidos de facturas es suficiente para lograrlo. Su reacción con respecto a este hecho fue:
Esto hizo volar mi mente y parecía negligente más allá de toda razón posible, pero es lo que hacen. Lo principal que llamó mi atención fue la velocidad de extracción posible en el actual ecosistema de las criptomonedas. $8,000 en 15 minutos es más rápido y más lucrativo que robar un banco suburbano.
Cody Brown
Fundador
Recomendaciones
Por otro lado, da ejemplos de las acciones que podrían tomar los involucrados para prevenir el hackeo, o al menos dificultarlo.
Las sugerencias a Verizon inician con añadir más capas de seguridad para aquellos que llamen para solicitar el cambio de su número a otra operadora, ya que obtener la información actualmente necesaria es relativamente fácil. Luego presenta la idea de hacer de los mensajes SMS que llegan algo más que simples notificaciones y poder cancelar acciones a través de ellos. Además, pide hacer visible el número de contacto en caso de fraude.
Para Coinbase recomienda poner como requisito el Autenticador de Google para almacenar cualquier tipo de monedas en la plataforma, especialmente para los nuevos usuarios; tener una línea 24/7 de atención al cliente para estas situaciones; y limitar el ingreso de más usuarios hasta que haya los recursos suficientes de soporte para todos. Además, pide la creación de una póliza de seguros para cuentas personales, aunque sea algo vulnerable, y encarga hallar un método para hacerla viable.
Por último, advierte a los nuevos usuarios en este ecosistema que es importante evitar divulgar información sobre sus transacciones e identidad real en la web. También habla sobre tener un correo electrónico exclusivo y secreto para los monederos digitales, y en caso de querer seguir guardando las criptomonedas en Coinbase, hay que asegurarse de guardar el dinero en la bóveda para al menos retrasar los movimientos no deseados un par de días.
Cody Brown fue sólo una víctima de otros casos de hackeo similares en el ecosistema Bitcoin, sin embargo, es importante tomarlo en cuenta ya que su experiencia le dio como resultado la creación de una entrada en su blog que puede ser muy útil para aquellos que comienzan a involucrarse en el medio.
