Una de las medidas de seguridad que más se usa últimamente es la verificación de la identidad mediante SMS: cuando iniciamos sesión en otro dispositivo, cuando realizamos una compra y pagamos con nuestra tarjeta bancaria, cuando registramos un nuevo dispositivo… Hasta la fecha, se ha asumido que la autenticación de doble factor era la panacea de seguridad, incluso desde hace años algunas webs como We Live Security nos han inculcado la necesidad de adoptarla en nuestros hábitos informáticos. Es cierto que siempre es más seguro que no contar con ninguna barrera de seguridad, pero dista mucho de ser infalible.

Hackear un SMS es más fácil de lo que crees

Nada más lejos de la realidad, los expertos en ciber seguridad llevan tiempo alertando de su vulnerabilidad y hoy lo hemos comprobado con nuestro propios ojos mediante un vídeo realizado por Positive Technologies del que se ha hecho eco Forbes. En él, se demuestra qué sencillo es hackear ni más ni menos que una cartera de Bitcoins simplemente interceptando SMS.

Si compras y vendes criptomoneda, estarás familiarizado con Coinbase, uno de los portales líderes en la gestión de Bitcoin, Ethereum, Litecoin, etc. Pues bien, esta web protege las cuentas de sus usuarios con la autenticación de doble factor empleando SMS y una cuenta Gmail del usuario.

No uses SMS para verificar tu identidad. Pixabay

¿Cómo han conseguido burlarla? Yendo al eslabón más débil: ejecutando exploits conocidos en la red. Recordemos que los exploits son un fragmento de datos o secuencia de comandos desarrollada para aprovechar una vulnerabilidad de seguridad de un software determinado, provocando un comportamiento no esperado. De este modo, por ejemplo, se pretende hackear apps tan conocidas como WhatsApp, Telegram o iMessage de iOS.

No hace falta desarrollar un hacking elaborado, basta con ir al eslabón más débil

Así lograron interceptar los SMS enviados a un número de teléfono durante cierto periodo de tiempo y resetearon la contraseña a través Gmail, logrando un control absoluto del wallet de Coinbase.

Como explica The Verge, lo único que se necesita es el nombre, apellido y número de teléfono del usuario. Afortunadamente, los hackers eran investigadores de seguridad y no criminales, pero puedes hacerte una idea del potencial daño al que nos exponemos.

¿Cuál es el eslabón más débil?

A simple vista, esto podría parecer una vulnerabilidad de Coinbase, pero la debilidad real es de la red celular en sí misma. Positive Technologies fue capaz de "secuestrar" los SMS usando sus propias herramientas que aprovechan la debilidad de los SMS.

Conocida como red SS7, este tejido se comparte por todas las operadoras de telecomunicaciones para gestionar llamadas y mensajes de texto entre los números de teléfono. Existe un conjunto de vulnerabilidades conocidas de SS7 y, aunque el acceso a la red SS7 se restringe a teleoperadoras, no es muy complicado para los hackers acceder a ellas y negociar con ellas.

Incluso si un servicio de terceros no está disponible para hackear, desde Positive Technologies aseguran que no hay problema, ya que es mucho más sencillo hackear la red directamente:

Es mucho más fácil y barato lograr un acceso directo a la red de intercomunicación SS7 y capturar mensajes específicos que intentar encontrar una herramienta concreta para atacar un servicio.

Las carteras de Bitcoins son una diana fácil para los criminales por la idiosincrasia propia de esta criptomoneda, que hace que, por ejemplo, las transacciones sean irreversibles, algo óptimo para los estafadores. No obstante, este ataque funciona igual de bien en cualquier otro servicio web. Solo es necesario enviar o recibir códigos de confirmación mediante SMS para ser vulnerable a este tipo de ataques.

¿Podemos protegernos frente a este ataque?

Aunque hay algunos trucos para reducir nuestra vulnerabilidad en internet, es importante recordar que nada es infalible al 100%. De momento, los servicios de internet están siendo muy lentos a la hora de retirar los SMS como capa adicional de seguridad, por lo que estos ataques seguirán sucediendo. Sin embargo, sí que hay algunas medidas que podemos tomar para protegernos ante este tipo de ataque.

En algunos servicios que tengamos contratados, simplemente podemos revocar la opción de la autenticación de doble factor empleando SMS. Por ejemplo, en el caso de Google te permitirá gestionar tu verificación en dos pasos para poder recuperar tu cuenta desde las opciones de configuración para añadir tu teléfono. Será ahí donde deberás desactivar la opción de los SMS y eliminar tu número.