En los últimos dos años, el concepto de autenticación de doble factor (2FA) se ha implementado de forma masiva, pero aún queda mucho por hacer en muchos sectores.
Por ejemplo, en el financiero, donde se sigue confiando en los SMS con código, que se han convertido en objetivo de los cibercriminales para acceder a las cuentas bancarias de los usuarios.
Tal y como confirmó el pasado enero Metro Bank a Motherboard, algunos de sus clientes habían sido víctimas de un ataque de tipo SS7 por el que interceptaban los mensajes SMS con código que los bancos enviaban a sus clientes para autenticar una transacción. Algo que no es nuevo, ya que hace dos años el periódico alemán Süddeutsche Zeitung informó también de que los bancos alemanes habían sufrido el mismo problema.
Para esos casos, la autentificación de doble factor (2FA), es decir, esos 4 o 6 dígitos que el banco envía por SMS y que el cliente debe introducir para aprobar una transacción, es un método muy utilizado por entidades financieras de todo el mundo para mantener a salvo el dinero de sus clientes.
Y es ahí donde los cibercriminales pueden acceder a los mensajes de distintas formas y una de ellas es aprovechando un error en el protocolo SS7, utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas.
Los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca'online y solicitan una transferencia.
La mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7, interceptan el mensaje e introducen el texto, como si tuvieran el teléfono del cliente.
Como la transacción se ha autorizado dos veces, los bancos aceptan la transferencia como legítima y el dinero acaba en manos de los delincuentes.
Según los expertos de Kaspersky Lab, esto se podría evitar si los bancos utilizaran autentificación de doble factor que no dependiera de los mensajes de texto, pero la mayoría de las entidades no permiten otros medios de autentificación de doble factor que no sea a través de SMS.
Fuente: www.20minutos.es/ IFTTT