Un SMS puede dejar vacía la cuenta bancaria

SMS./Archivo
SMS. / Archivo

Alemania sufrió en 2017 un ataque de phising y este ejercicio ha sido el turno de Reino Unido

JOSÉ A. GONZÁLEZMadrid

En los últimos años, los servicios online y los servicios financieros han establecido un sistema de doble autenticación para mejorar la seguridad de sus usuarios. Es una medida extra que  frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio.

Los sistemas de doble factor de autenticación son mucho más seguros que las contraseñas.  El pasado mes de enero, Metro Bank del Reino Unido confirmó a la web Motherboard que algunos de sus clientes habían sido víctimas de un ataque de tipo SS7 por el que interceptaban los mensajes SMS con código que los bancos enviaban a sus clientes para autenticar una transacción.

Hasta la fecha, el sector financiero sigue confiando en este tipo de mensajes y se han convertido en el objetivo preferido de los ciberdelincuentes para acceder a las cuentas bancarias. Al ataque en Reino Unido se suma otro en Alemania en el de 2017.

Aprovechando un error en el protocolo SS7, los cibercriminales pueden acceder a los mensajes de distintas formas, según Kaspersky Lab. Este tipo de ataque es posible en tanto que a la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen superar los sistemas de seguridad, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas.

Hoy en día, gran parte de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7, interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono.

Los cibercriminales obtienen el usuario y contraseña de la banca 'online', probablemente a través de 'phishing', 'keylogger' o troyanos bancarios. Entonces, inician sesión en la banca 'online' y solicitan una transferencia.

Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con la contraseña del cliente y con el código de un solo uso. El dinero acaba en manos de los delincuentes.

Los expertos en seguridad afirman que esto se podría evitar si los bancos utilizaran autenticación de doble factor que no dependiera de los mensajes de texto.