Topic: Sim swapping – lo oímos menos últimamente, pero sigue existiendo - page 3. (Read 640 times)

En principio, al no haber un SIM físico al pasarse al eSIM, la teoría dice que se reduce el vector de ataque de pedir un duplicado en la tienda (con compinche o incompetente de por medio), pero la eSIM tiene su componente software, y el software siempre acaba encontrando puntos de vulnerabilidad eventualmente.

Supongo que, en todo caso, es el propio proceso de cambio de terminal de las compañías, y preservación del número de eSIM, lo que nos dará una pista. Por ejemplo, leyendo el siguiente procedimiento, da la sensación de que con algo de ingeniería social (acceso al email, a cuenta Virgin) se puede lograr:
https://www.virginmobile.ae/help/what-should-i-do-if-i-lose-my-esim-registered-device/

He visto que ya hay casos de eSIM swapping, así que tampoco hay que bajar la guardia:
https://edtimes.in/all-you-need-to-know-about-e-sim-card-swapping-scam/

Vamos, que no parece que no vaya a proteger en demasía las cuentas en Exchanges, carteras custodiales, bancos y demás, y hay que tener las precauciones activadas.

Ya que estamos con este hilo.

Les parece que la adopcion masiva del e-sim supondra mas seguridad que la sim tradicional en este tipo de estafas?. O contrario a esto tambien sera mas dificil una vez estafados demostrar nuestra inocencia?.

Lo que voy leyendo es todo ventajas de la e-sim supuestamente en todos los apartados y mucho ams en el apartado seguridad, pero bueno siempre hay algo que no nos cuentan.

Se me antojan ejemplos de fraude muy elaborados, para lo que estamos acostumbrados en el día a día. Por otro lado, el primer caso habla de Brasil, el segundo de Reino Unido. Está bien saber que siguen sucediendo, y puede que cada vez más, para tener las alertas correspondientes siempre activas. Pero no me parece que sean prácticas tan comunes como para tenerles miedo. De momento. Al menos en el caso del Sim swapping, el segundo método sí que parece más fácil de realizar y, peor aún, frecuente.

No siendo de la misma problemática, pero con cierta relación tangencial, otro aspecto a cuidar es el spoofing de números de teléfono, mediante el cual, un maleante puede enviarnos SMS maliciosos o hacernos llamadas, impersonando los teléfonos oficiales de empresas, dotando así de mayor credibilidad al mensaje recibido.

Por ejemplificar, en UK has detenido a más de 100 delincuentes que habrían intentado estafar a más de 200.000 víctimas con todo tipo de timos, utilizando el spoofing telefónico como base, aunque el pool potencial de delincuentes que usaron este servicio se estima en 59.000. Curiosamente, han seguido el rastro de pagos por el servicio con bitcoin para llegar a dar con algunos de ellos, aunque no detalla exactamente cómo ni la cantidad de casos.

Ver:
https://www.diariobitcoin.com/paises/europa/reino-unido-europa/100-arrestados-miles-de-victimas-y-bitcoin-en-mayor-fraude-de-reino-unido/

Hay Sms, Código por email y 2Fa con App, son tres pin, entonces, pueden que te clonen la sim pero como hacen con la App (Pin) que se genera.

De hecho deberían agregarse las direcciones a la lista blanca, donde se repite el proceso anterior, y de hecho a pesar de tener una lista blanca puedes optar por solicitar que se ejecute nuevamente las tres comprobaciones anteriores incluso si están en la lista blanca.

Por cierto tienen también un código antiphishing, una clave de 4 dígitos que aparece en cada email que te envían para corroborar como adicional que el email que recibes es de Binance.

Hay que señalar que el 2fa puede ser por email, por sms y/o por APP, visto lo anterior como dice Darxiomi es lamentable que de seguro en la demanda esto salga a relucir y es obvio que hay negligencia interna, pero eso es increíble que algunas personas los llaman de servicios por ejemplo la empresa de Tv por satélite y les piden confirmar datos y chilin, chilin, queremos corroborar su DNI, teléfono, fecha de nacimiento, etc...

Esta noticia tristemente es la mejor publicidad que nos recuerda siempre que estamos expuestos, por mucha experiencia que se tenga, cuanto uno màs cree saber, entonces resulta en la frase colegial; "confianza mato al pescado" se viene a la mente esa por el termino anglo "fish" que literalmente no significa pescado pero pareciera.

Estaba mirando si, en el caso de Binance, aunque tuviésemos 2FA a través de una aplicación de autentificación, pudiésemos llegar a desactivarlo accediendo a través de las opciones de cambio de contraseña. Según he visto, parece que no, dado que si tienes 2FA con código de autentificación mediante app, éste es preciso para poder finalizar el cambio de contraseña.


Habría que ver no obstante que el reseteo de la contraseña pida el 2FA sí está habilitado en aquellas sites relevantes, a fin de ver su vulnerabilidad a un procesos de sim-swapping.

Es mejor seguridad tener 2FA con un Auntenticador en el telefono en vez de configurar un SMS, que puede ser clonado.

Ojo que generalmente la gente usa el Autenticador de Google, pero se puede usar cualquier otro, como AndOTP que es open source, y que te permite exportar los codigos para cuando cambias de telefono. Lo pueden encontrar aca: https://github.com/andOTP/andOTP o en fdroid.

Quizás una reflexión a realizar es que este riesgo se mitiga o elimina con la autocustodia de nuestros activos. Aunque el sim-swapping puede afectar a otras áreas de relevancia (cuentas bancarias, cuentas de correo, cuentas en tiendas, etc.) además de a las cuentas que podamos tener en Exchanges o entidades afines, los casos de uso se dan esencialmente cuando alguien que no somos nosotros mismos es el custodio.

Tener 34K $ en un Exchange no es necesario, salvo que te dediques al trading todo el día y precises tener liquidez para la operativa a muy corto plazo. Tenerlo como si fuese un banco no es lo suyo, y por uno céntimos te lo llevas a tu wallet de autocustodia sin problemas. Eso sí, sin olvidarnos de que muchos no van a saber ni querer saber nada de la autocustodia al ser algo más complicado que la custodia en una plataforma tercera.

Si me preguntas a mi, normalmente al igual que en los casos con los bancos la gente siempre miente a la hora de narrar lo que paso. Siempre dicen "no, no le di ningun dato, no se como paso etc" pero cuando te pones a ver en detalle si resulta que le paso muchisimos datos al malechor.

Las compañias telefonicas algunas son un total desastre con ese tema, por ejemplo aca en Argentina es muy facil dar de baja un numero de celular, solo conociendo el nombre o donde vive, tema por lo cual algunas compañias ahora entregan una especie de pin de seguridad el cual uno tiene que decir para ese tipo de operaciones (dar de baja, portabilidad numerica etc).

Cuando en Binance inicias el proceso asociado a "¿olvidaste la contraseña?", te informa de que no podrás retirar, hacer ventas p2p, ni acceder a los servicios de pago durante 24 horas. Esto, me imagino, está para mitigar los casos de acceso a la cuenta por parte de personas ajenas, dando un margen para poder actuar/avisar (si es que uno se entera).
La contraseña la puedes intentar recuperar bien mediante la cuenta de correo, bien mediante el móvil. En el caso del, el Binance le remite un código de verificación de 6 dígitos que hemos de introducir.

Según indica el enlace abajo referenciado:

Los métodos 2FA de Binance parecen ser: Llave de Seguridad, Autentificador de Binance, Autentificador de Google, móvil (SMS), y correo electrónico.

No sé cómo irá el proceso de recuperación de contraseña si tienes 2FA Google, pero si el usuario hubiese tenido 2FA por teléfono, con un SMS a la sim duplicada basta para hacerse con la cuenta.

Ver:
https://www.binance.com/es/support/faq/2d9adebbe9b446019f8895ce971d0870
https://academy.binance.com/es/articles/binance-2fa-guide

Me pregunto ¿Cómo pudo el Hacker hacer esos retiros, tenía la 2fa activada?

Para hacer retiros en Binance imagino que no tenía entonces la 2FA activada,el artículo dice que a través del teléfono y sms pudo hacer todo,pero eso es una vulnerabilidad considero,si tenemos todo en regla,el brasileño tuvo que tener activado esa seguridad.

Lo que me deja con toda la duda es que Binance al detectar que se hacen operaciones con otros dispositivos debería pedir otro tipo de seguridad,en mi caso cuando lo uso me piden que les dé permiso mediante un correo electrónico,esto me hace pensar mal,que hasta mismos trabajadores de Binance pueden estar en complicidad con esto.

Hacía tiempo que no leía acerca de casos de sim swapping que llevasen al robo de criptomonedas. La práctica sigue produciéndose no obstante, como nos recuerda el caso reflejado en el enlace a pie de post.

Según cita el artículo, un ciudadano de Brasil fue despojado de un equivalente a 34K $ en BTC de su cuenta en Binance. En diciembre del año pasado, el afectado vio cómo su número de teléfono dejó de funcionar. El servicio de atención al cliente lo resolvió dándole un nuevo número de teléfono, algo que ya de por sí se antoja una solución inadecuada, pero bueno.

Poco más tarde, el afectado se dio cuenta de que su cuenta en Binance había sido vaciada, habiendo el hacker accedido a la misma al poder cambiar la contraseña de la cuenta y tomar control de la misma. Esto, gracias a tener la tarjeta telefónica del afectado clonada (sim swapping), método que usó para poder cambiar la contraseña mediante el proceso de recuperación de contraseña (el cual se apoya en el número móvil asociado a la cuenta).

El afectado ha demandado a la empresa telefónica (Claro) por haber permitido que alguien pudiese hacerse con un duplicado de su sim sin validar la identidad correctamente. El caso sigue abierto judicialmente, pero lo importante es ser consciente de que esto pude llegar a suceder …

Ver: https://www.criptonoticias.com/comunidad/hombre-demanda-claro-luego-perder-bitcoins-binance/