Clarín accedió a un documento interno que la compañía envió a sus clientes, donde reconocen un ingreso no autorizado a sus servidores el 24 de marzo y aseguran que atacantes “accedieron a capturar tráfico de SMS en tiempo real, con alrededor de 30 mil datos capturados”.
“El hackeo afectó a clientes de Argentina y Uruguay, con tráfico de múltiples clientes con contenido del tipo OTP, marketing, gaming y otros”, agrega el reporte. OTP es un tipo de clave que se usa una sola vez (One Time Password), como segundo factor, para entrar a una cuenta una vez que se introduce la contraseña. Los SMS funcionan como vehículo de estos OTP.
Estos mensajes se utilizan como método para notificar usuarios: desde un delivery hasta el envío de códigos para entrar a Gmail o Instagram. La vulnerabilidad de este sistema permite a los estafadores tomar control de otras cuentas para realizar estafas.
“Desde febrero empezamos a detectar una serie de robos de cuentas por parte de distintos atacantes que estaban interceptando estos códigos de seguridad que llegan por mensaje de texto, de empresas como Mercado Libre, Google, Facebook, Instagram y Apple”, dijo a este medio Pablo Sabbatella, especialista en seguridad cripto de Opsek.
“Empezamos a investigar el tema junto con Opsek, The Red Guild y SEAL y llegamos a la conclusión de que los hackeos no se debían a los dispositivos de los usuarios sino al gateway encargado de enviar los SMS de autenticación en Argentina: había un proveedor comprometido. Lo reportamos el miércoles 26 y el viernes 28 de marzo las empresas afectadas informaron que habían detectado la filtración y asegurado sus sistemas”, agregó. Security Alliance, una organización de seguridad cripto, publicó un comunicado con detalles del caso.
Clarín pudo corroborar que los principales proveedores de telecomunicaciones de Argentina conocen el caso y están alerta para impedir que los atacantes continúen explotando este acceso no autorizado al envío de SMS.
Los mensajes de texto todavía se utilizan como segundo factor de autenticación y método de reseteo de contraseñas. Cuando un usuario quiere entrar a una plataforma, sea de Google, Apple o Mercado Libre, el proceso de autenticación suele exigir un segundo factor. Esto es por motivos de seguridad: si un atacante sabe nuestra contraseña, no es suficiente para robarnos la cuenta (account takeover, como se conoce a esta práctica).
“Un SMS gateway ofrece la posibilidad de gestionar envíos de SMS por parte de las empresas que requieran este servicio de mensajería hacia sus clientes. El proveedor del SMS gateway se encarga del envío hacia los operadores de telefonía móvil. Es decir, es un intermediario entre la empresa que quiere comunicar (Google, por ejemplo) y el cliente de la compañía que debe recibir el mensaje”, explicó a Clarín Ileana Barrionuevo, especialista en seguridad informática.
“El envío de SMS se usa en estos casos para recuperar o restablecer contraseñas en las plataformas, en donde el cliente recibe el mensaje de texto que posee un código (OTP) para ser utilizado como un doble factor o código de verificación, o bien recibe una contraseña temporal; también para inicios de sesión rápidos”, agrega.
En este caso, la empresa explicó en su reporte interno que los atacantes lograron comprometer el servidor SMPP. “Es un protocolo que establece las reglas de intercambio de SMS: por un lado está el cliente, que puede ser una aplicación; por el otro, el servidor, que corresponde al operador móvil, la empresa que da internet. Si un atacante vulnera el SMPP, puede conseguir acceso a todo el detalle de lo que ocurre en esa comunicación”, advierte Barrionuevo.
Cómo evitar el robo de cuentas
Las cuentas personales, tanto de WhatsApp como de correo o de aplicaciones bancarias, son muy codiciadas por los atacantes para cometer estafas. En general, una vez que se toma el control, los cibercriminales se hacen pasar por conocidos para pedir dinero o cometer todo tipo de ataques de ingeniería social.
En enero del año pasado, usuarios de la aplicación Payoneer sufrieron en Argentina el vaciamiento de sus cuentas durante un fin de semana, cuando la popular app de pagos tuvo un problema con un gateway similar al de Sondeos. Mediante el interceptado de los SMS, hackers robaron accesos y transfirieron el dinero a cuentas propias.
Por este motivo, siempre hay que tener un segundo factor de autenticación activado, esto es, un paso más además de la contraseña para poder iniciar sesión, pero este método nunca tiene que ser el SMS, que es conocido en el ambiente de la ciberseguridad por ser inseguro.
Uno de los ataques más conocidos en el ámbito de la ciberseguridad es el “SIM swapping”, que consiste en duplicar la tarjeta SIM del teléfono para suplantar la identidad de la víctima. “Más allá del SIM swapping, los SMS no están cifrados, lo que facilita interceptarlos. Siempre es mejor usar aplicaciones como Google o Microsoft Authenticator, que se descargan de las tiendas oficiales de Google y Apple y son súper fáciles de usar, además de más seguros”, explica a Clarín Arturo Busleiman, especialista en ciberseguridad de Buanzo Consulting.
“El uso de SMS para restablecer contraseñas o enviar códigos de verificación es preocupante debido a sus vulnerabilidades de seguridad ampliamente documentadas en la industria. Equilibrar la seguridad con el nivel de adopción tecnológica de la sociedad es siempre un factor crítico y problemático a la hora de seleccionar mecanismos de autenticación para la ciudadanía en general”, cierra.
De hecho, las “passkeys” son otra forma segura de iniciar sesión que WhatsApp, Google y Apple ya permiten activar desde las opciones de configuración de cuenta. Se trata de un método de autenticación biométrica o mediante PIN a través de un dispositivo de confianza establecido por el usuario.
Sea con aplicaciones, passkeys o hasta llaves FIDO, asegurar cuentas con un segundo factor es fundamental para estar protegidos. Y el SMS no debería ser la opción, en tanto hay múltiples hackeos que tienen como puerta de entrada los mensajes de texto. El caso de Sondeos Global es un ejemplo más de este riesgo.
Clarín