Cibercriminales interceptan códigos SMS enviados por los bancos para vaciar las cuentas

5 Feb 2019

La autentificación de doble factor es un método muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 dígitos que recibes del banco y que tienes que introducir para aprobar una transacción. Normalmente, los bancos envían contraseñas de un solo uso a través de mensajes de texto. Por desgracia, los SMS son uno de los métodos más débiles de implantación de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido.

Los cibercriminales pueden acceder a tus mensajes de distintas formas y uno de los más extravagantes es explotando un error en el SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas (puedes leer más sobre este tema en este artículo sobre protocolos SS7). A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen superar los sistemas de seguridad, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas.

El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes.

El Metro Bank del Reino Unido acaba de confirmar a Motherboard que algunos de sus clientes han sufrido este tipo de fraude online. Ya en el 2017, Süddeutsche Zeitung informó de que los bancos alemanes se habían enfrentado al mismo problema.

Pero también hay buenas noticias. Como comenta el propio Metro Bank, muy pocos clientes tuvieron que lidiar con un problema de seguridad de este tipo y “ninguno se quedó sin dinero”.

Todo esto se podría haber evitado si los bancos utilizaran autentificación de doble factor que no dependiera de los mensajes de texto (por ejemplo, una aplicación de autentificación o un dispositivo de autentificación hardware como Yubikei). Lamentablemente, de momento la mayoría de las instituciones financieras no permiten otros medios de autentificación de doble factor que no sea a través de SMS. Esperamos que en un futuro próximo los bancos de todo el mundo ofrezcan otras opciones a los clientes para mejorar su protección.

Por tanto, la moraleja de esta historia es la siguiente:

  • Es aconsejable utilizar la autentificación de doble factor siempre que sea posible, pero es mejor aun usar versiones seguras de la 2FA como las aplicaciones de autentificación o los Yubikeys. Utiliza estas opciones para proteger los datos bancarios siempre que puedas en lugar de los SMS.
  • Usa una una solución antivirus de confianza de confianza para proteger tus sistemas de troyanos bancarios y keyloggers y que, por tanto, no puedan robar tus usuarios y contraseñas.