Los atacantes han encontrado formas de contrarrestar los códigos basados en SMS, y sus ataques son cada vez más fáciles y económicos.
Por Christopher Budd, de Avast Blog.
Durante el fin de semana festivo, nos enteramos de (sitio en inglés) que más de 500 millones (533 millones) de datos personales de los usuarios de Facebook, incluidos los números de teléfono, se filtraron en línea. El propio Facebook confirmó la filtración diciendo que era el resultado de una vulnerabilidad que arreglaron en 2019.
Si bien la vulnerabilidad y el robo pueden parecer “noticias viejas” porque fue hace casi dos años, este desarrollo significa que los usuarios de Facebook cuyos datos fueron robados en 2019 corren un mayor riesgo ahora debido a la filtración y deberían tomar medidas hoy para protegerse mejor de eso.
Los informes indican que los datos incluyen: números de teléfono, ID de Facebook, nombres completos, ubicaciones, cumpleaños, información biográfica y algunas direcciones de correo electrónico de usuarios de todo el mundo. Puedes encontrar una lista de la cantidad de usuarios de cada país afectados aquí (sitio en inglés).
La pérdida de números de teléfono asociados con los correos electrónicos es particularmente preocupante. Es muy probable que, para muchas personas, sus combinaciones de números de teléfono y correo electrónico sean las mismas que las de los códigos basados en SMS para iniciar sesión en esas mismas cuentas de correo electrónico. Esto significa que esos usuarios corren un mayor riesgo de que los atacantes intenten el “intercambio de SIM” para redirigir códigos basados en SMS a dispositivos bajo su control y obtener acceso al correo electrónico del objetivo. Debido a que las cuentas de correo electrónico son el lugar donde se restablece: “Olvidé mi contraseña”, esta es la forma más fácil, eficiente y efectiva para que los atacantes se apoderen de tu vida digital, primero secuestrando tu cuenta de correo electrónico y luego usándola para apoderarse de tus otras cuentas.
Los ataques de “intercambio de SIM” son cada vez más frecuentes. También son cada vez más fáciles de realizar.
Facebook no ha notificado a los usuarios cuyos datos han sido robados y no existe una forma sencilla y segura de saber si te han afectado. Debido a esto, si tenías una cuenta de Facebook en 2019, debes asumir que tus datos se han perdido y tomar medidas para protegerte mejor.
Lo mejor que puedes hacer para protegerte es mover inmediatamente tu cuenta de correo electrónico de solo contraseña, o contraseña y códigos basados en SMS a usar una aplicación de autenticación como las que ofrecen Microsoft y Google. Cambiar a una aplicación de autenticación puede mitigar el riesgo de intercambio de SIM: elimina por completo tu número de teléfono celular/SMS de la ecuación. Puedes usar cualquiera de los autenticadores para tu correo electrónico, así como la mayoría de las otras aplicaciones y servicios que admiten aplicaciones de autenticación, por lo que, en la mayoría de los casos, solo necesitas tener una aplicación de autenticación para todas tus cuentas (no solo el correo electrónico).
También existen otros riesgos a los que puedes enfrentarte, en particular, intentos de phishing a través de mensajes de texto, a veces llamados “Smishing”. Nuevamente, con tu nombre y dirección de correo electrónico junto con tu número de teléfono, puede ser más fácil para los atacantes saber cómo dirigirse a ti con este tipo de mensajes de phishing. Además, es más difícil distinguir los mensajes SMS falsos de los legítimos porque hay muy poca información en los mensajes de texto.
Como mínimo, debes tener mucho cuidado con los mensajes SMS que recibes después de esta fuga de datos.
Si eres alguien que podría ser un objetivo de mayor valor para los atacantes – como un político, trabajador del gobierno, o un miembro de la policía o el ejército – y aún tienes el mismo número que en 2019, se debe considerar el cambio de tu número de teléfono y colocando las protecciones contra cambios de número y cambios de SIM junto con tu operador de telefonía. Aquellos que son objetivos particularmente valiosos pueden querer tener la práctica de cambiar los números de teléfono celular con regularidad (pero no en un horario predecible). Vale la pena señalar que, según los informes, el Servicio Secreto de los Estados Unidos hizo esto con el entonces presidente Donald Trump como una táctica de seguridad, ya que usaba regularmente teléfonos celulares comerciales.
Pasar a una aplicación de autenticación es cada vez más una mejor práctica recomendada en la comunidad de seguridad, ya que los atacantes han encontrado formas de contrarrestar eficazmente los códigos basados en SMS y sus ataques son cada vez más fáciles y económicos para ellos. En este punto, es realmente una cuestión de “cuándo”, no si las personas pasan de los códigos basados en SMS a las aplicaciones de autenticación. Esta última violación de datos considerable para Facebook puede y debe ser una motivación para que muchas personas lo hagan más temprano que tarde.