{"id":17805,"date":"2019-02-05T13:46:46","date_gmt":"2019-02-05T11:46:46","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=17805"},"modified":"2019-11-22T10:57:01","modified_gmt":"2019-11-22T08:57:01","slug":"ss7-hacked","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ss7-hacked\/17805\/","title":{"rendered":"Cibercriminales interceptan c\u00f3digos SMS enviados por los bancos para vaciar las cuentas"},"content":{"rendered":"

La autentificaci\u00f3n de doble factor<\/strong> es un m\u00e9todo muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 d\u00edgitos que recibes del banco y que tienes que introducir para aprobar una transacci\u00f3n. Normalmente, los bancos env\u00edan contrase\u00f1as de un solo uso a trav\u00e9s de mensajes de texto. Por desgracia, los SMS son uno de los m\u00e9todos m\u00e1s d\u00e9biles de implantaci\u00f3n de la 2FA<\/strong>, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido.<\/p>\n

Los cibercriminales<\/strong> pueden acceder a tus mensajes de distintas formas y uno de los m\u00e1s extravagantes es explotando un error en el SS7, un protocolo utilizado por las compa\u00f1\u00edas de telecomunicaciones para coordinar el env\u00edo de mensajes y llamadas (puedes leer m\u00e1s sobre este tema en este art\u00edculo sobre protocolos SS7<\/a>). A la red SS7<\/strong> no le importa qui\u00e9n env\u00eda la solicitud, por tanto, si los ciberdelincuentes consiguen superar los sistemas de seguridad<\/a>, la red seguir\u00e1 sus comandos como si fueran leg\u00edtimos para dirigir los mensajes y llamadas.<\/p>\n

El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contrase\u00f1a de la banca online, probablemente a trav\u00e9s de phishing<\/em><\/strong>, keylogger<\/em> o troyanos bancarios. Entonces, inician sesi\u00f3n en la banca online<\/em> y solicitan una transferencia. Actualmente, la mayor\u00eda de los bancos solicitan una confirmaci\u00f3n adicional y env\u00edan un c\u00f3digo de verificaci\u00f3n a la cuenta del propietario. Si el banco realiza esta operaci\u00f3n a trav\u00e9s de SMS, ah\u00ed es cuando los ciberdelincuentes explotan la vulnerabilidad SS7<\/strong>: interceptan el mensaje e introducen el texto, como si tuvieran tu tel\u00e9fono. Los bancos aceptan la transferencia como leg\u00edtima, ya que la transacci\u00f3n se ha autorizado dos veces: con tu contrase\u00f1a y con el c\u00f3digo de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes.<\/p>\n

El Metro Bank del Reino Unido acaba de confirmar a Motherboard<\/a>\u00a0que algunos de sus clientes han sufrido este tipo de fraude online<\/strong>. Ya en el 2017, S\u00fcddeutsche Zeitung<\/a>\u00a0inform\u00f3 de que los bancos alemanes se hab\u00edan enfrentado al mismo problema.<\/p>\n

Pero tambi\u00e9n hay buenas noticias. Como comenta el propio Metro Bank, muy pocos clientes tuvieron que lidiar con un problema de seguridad de este tipo y \u201cninguno se qued\u00f3 sin dinero\u201d.<\/p>\n

Todo esto se podr\u00eda haber evitado si los bancos utilizaran autentificaci\u00f3n de doble factor que no dependiera de los mensajes de texto (por ejemplo, una aplicaci\u00f3n de autentificaci\u00f3n<\/a> o un dispositivo de autentificaci\u00f3n hardware<\/em><\/strong> como Yubikei). Lamentablemente, de momento la mayor\u00eda de las instituciones financieras no permiten otros medios de autentificaci\u00f3n de doble factor que no sea a trav\u00e9s de SMS. Esperamos que en un futuro pr\u00f3ximo los bancos de todo el mundo ofrezcan otras opciones a los clientes para mejorar su protecci\u00f3n.<\/p>\n

Por tanto, la moraleja de esta historia es la siguiente:<\/p>\n