Habría que ver no obstante que el reseteo de la contraseña pida el 2FA sí está habilitado en aquellas sites relevantes, a fin de ver su vulnerabilidad a un procesos de sim-swapping.
Topic: Sim swapping – lo oímos menos últimamente, pero sigue existiendo - page 3. (Read 527 times)
Estaba mirando si, en el caso de Binance, aunque tuviésemos 2FA a través de una aplicación de autentificación, pudiésemos llegar a desactivarlo accediendo a través de las opciones de cambio de contraseña. Según he visto, parece que no, dado que si tienes 2FA con código de autentificación mediante app, éste es preciso para poder finalizar el cambio de contraseña.
Habría que ver no obstante que el reseteo de la contraseña pida el 2FA sí está habilitado en aquellas sites relevantes, a fin de ver su vulnerabilidad a un procesos de sim-swapping.
Habría que ver no obstante que el reseteo de la contraseña pida el 2FA sí está habilitado en aquellas sites relevantes, a fin de ver su vulnerabilidad a un procesos de sim-swapping.
Es mejor seguridad tener 2FA con un Auntenticador en el telefono en vez de configurar un SMS, que puede ser clonado.
Ojo que generalmente la gente usa el Autenticador de Google, pero se puede usar cualquier otro, como AndOTP que es open source, y que te permite exportar los codigos para cuando cambias de telefono. Lo pueden encontrar aca: https://github.com/andOTP/andOTP o en fdroid.
Ojo que generalmente la gente usa el Autenticador de Google, pero se puede usar cualquier otro, como AndOTP que es open source, y que te permite exportar los codigos para cuando cambias de telefono. Lo pueden encontrar aca: https://github.com/andOTP/andOTP o en fdroid.
Quizás una reflexión a realizar es que este riesgo se mitiga o elimina con la autocustodia de nuestros activos. Aunque el sim-swapping puede afectar a otras áreas de relevancia (cuentas bancarias, cuentas de correo, cuentas en tiendas, etc.) además de a las cuentas que podamos tener en Exchanges o entidades afines, los casos de uso se dan esencialmente cuando alguien que no somos nosotros mismos es el custodio.
Tener 34K $ en un Exchange no es necesario, salvo que te dediques al trading todo el día y precises tener liquidez para la operativa a muy corto plazo. Tenerlo como si fuese un banco no es lo suyo, y por uno céntimos te lo llevas a tu wallet de autocustodia sin problemas. Eso sí, sin olvidarnos de que muchos no van a saber ni querer saber nada de la autocustodia al ser algo más complicado que la custodia en una plataforma tercera.
Tener 34K $ en un Exchange no es necesario, salvo que te dediques al trading todo el día y precises tener liquidez para la operativa a muy corto plazo. Tenerlo como si fuese un banco no es lo suyo, y por uno céntimos te lo llevas a tu wallet de autocustodia sin problemas. Eso sí, sin olvidarnos de que muchos no van a saber ni querer saber nada de la autocustodia al ser algo más complicado que la custodia en una plataforma tercera.
Si me preguntas a mi, normalmente al igual que en los casos con los bancos la gente siempre miente a la hora de narrar lo que paso. Siempre dicen "no, no le di ningun dato, no se como paso etc" pero cuando te pones a ver en detalle si resulta que le paso muchisimos datos al malechor.
Las compañias telefonicas algunas son un total desastre con ese tema, por ejemplo aca en Argentina es muy facil dar de baja un numero de celular, solo conociendo el nombre o donde vive, tema por lo cual algunas compañias ahora entregan una especie de pin de seguridad el cual uno tiene que decir para ese tipo de operaciones (dar de baja, portabilidad numerica etc).
Las compañias telefonicas algunas son un total desastre con ese tema, por ejemplo aca en Argentina es muy facil dar de baja un numero de celular, solo conociendo el nombre o donde vive, tema por lo cual algunas compañias ahora entregan una especie de pin de seguridad el cual uno tiene que decir para ese tipo de operaciones (dar de baja, portabilidad numerica etc).
Cuando en Binance inicias el proceso asociado a "¿olvidaste la contraseña?", te informa de que no podrás retirar, hacer ventas p2p, ni acceder a los servicios de pago durante 24 horas. Esto, me imagino, está para mitigar los casos de acceso a la cuenta por parte de personas ajenas, dando un margen para poder actuar/avisar (si es que uno se entera).
La contraseña la puedes intentar recuperar bien mediante la cuenta de correo, bien mediante el móvil. En el caso del, el Binance le remite un código de verificación de 6 dígitos que hemos de introducir.
Según indica el enlace abajo referenciado:
Los métodos 2FA de Binance parecen ser: Llave de Seguridad, Autentificador de Binance, Autentificador de Google, móvil (SMS), y correo electrónico.
No sé cómo irá el proceso de recuperación de contraseña si tienes 2FA Google, pero si el usuario hubiese tenido 2FA por teléfono, con un SMS a la sim duplicada basta para hacerse con la cuenta.
Ver:
https://www.binance.com/es/support/faq/2d9adebbe9b446019f8895ce971d0870
https://academy.binance.com/es/articles/binance-2fa-guide
La contraseña la puedes intentar recuperar bien mediante la cuenta de correo, bien mediante el móvil. En el caso del, el Binance le remite un código de verificación de 6 dígitos que hemos de introducir.
Según indica el enlace abajo referenciado:
Quote
• Si has utilizado una dirección de correo electrónico para registrar tu cuenta y has activado la autenticación 2FA por SMS, puedes restablecer tu contraseña a través de tu número de teléfono móvil.
• Si has utilizado un número de teléfono móvil para registrar tu cuenta y has activado la autenticación 2FA por correo electrónico, puedes restablecer la contraseña a través de este.
• Si has utilizado un número de teléfono móvil para registrar tu cuenta y has activado la autenticación 2FA por correo electrónico, puedes restablecer la contraseña a través de este.
Los métodos 2FA de Binance parecen ser: Llave de Seguridad, Autentificador de Binance, Autentificador de Google, móvil (SMS), y correo electrónico.
No sé cómo irá el proceso de recuperación de contraseña si tienes 2FA Google, pero si el usuario hubiese tenido 2FA por teléfono, con un SMS a la sim duplicada basta para hacerse con la cuenta.
Ver:
https://www.binance.com/es/support/faq/2d9adebbe9b446019f8895ce971d0870
https://academy.binance.com/es/articles/binance-2fa-guide
Me pregunto ¿Cómo pudo el Hacker hacer esos retiros, tenía la 2fa activada?
Para hacer retiros en Binance imagino que no tenía entonces la 2FA activada,el artículo dice que a través del teléfono y sms pudo hacer todo,pero eso es una vulnerabilidad considero,si tenemos todo en regla,el brasileño tuvo que tener activado esa seguridad.
Lo que me deja con toda la duda es que Binance al detectar que se hacen operaciones con otros dispositivos debería pedir otro tipo de seguridad,en mi caso cuando lo uso me piden que les dé permiso mediante un correo electrónico,esto me hace pensar mal,que hasta mismos trabajadores de Binance pueden estar en complicidad con esto.
Para hacer retiros en Binance imagino que no tenía entonces la 2FA activada,el artículo dice que a través del teléfono y sms pudo hacer todo,pero eso es una vulnerabilidad considero,si tenemos todo en regla,el brasileño tuvo que tener activado esa seguridad.
Lo que me deja con toda la duda es que Binance al detectar que se hacen operaciones con otros dispositivos debería pedir otro tipo de seguridad,en mi caso cuando lo uso me piden que les dé permiso mediante un correo electrónico,esto me hace pensar mal,que hasta mismos trabajadores de Binance pueden estar en complicidad con esto.
Hacía tiempo que no leía acerca de casos de sim swapping que llevasen al robo de criptomonedas. La práctica sigue produciéndose no obstante, como nos recuerda el caso reflejado en el enlace a pie de post.
Según cita el artículo, un ciudadano de Brasil fue despojado de un equivalente a 34K $ en BTC de su cuenta en Binance. En diciembre del año pasado, el afectado vio cómo su número de teléfono dejó de funcionar. El servicio de atención al cliente lo resolvió dándole un nuevo número de teléfono, algo que ya de por sí se antoja una solución inadecuada, pero bueno.
Poco más tarde, el afectado se dio cuenta de que su cuenta en Binance había sido vaciada, habiendo el hacker accedido a la misma al poder cambiar la contraseña de la cuenta y tomar control de la misma. Esto, gracias a tener la tarjeta telefónica del afectado clonada (sim swapping), método que usó para poder cambiar la contraseña mediante el proceso de recuperación de contraseña (el cual se apoya en el número móvil asociado a la cuenta).
El afectado ha demandado a la empresa telefónica (Claro) por haber permitido que alguien pudiese hacerse con un duplicado de su sim sin validar la identidad correctamente. El caso sigue abierto judicialmente, pero lo importante es ser consciente de que esto pude llegar a suceder …
Ver: https://www.criptonoticias.com/comunidad/hombre-demanda-claro-luego-perder-bitcoins-binance/
Según cita el artículo, un ciudadano de Brasil fue despojado de un equivalente a 34K $ en BTC de su cuenta en Binance. En diciembre del año pasado, el afectado vio cómo su número de teléfono dejó de funcionar. El servicio de atención al cliente lo resolvió dándole un nuevo número de teléfono, algo que ya de por sí se antoja una solución inadecuada, pero bueno.
Poco más tarde, el afectado se dio cuenta de que su cuenta en Binance había sido vaciada, habiendo el hacker accedido a la misma al poder cambiar la contraseña de la cuenta y tomar control de la misma. Esto, gracias a tener la tarjeta telefónica del afectado clonada (sim swapping), método que usó para poder cambiar la contraseña mediante el proceso de recuperación de contraseña (el cual se apoya en el número móvil asociado a la cuenta).
El afectado ha demandado a la empresa telefónica (Claro) por haber permitido que alguien pudiese hacerse con un duplicado de su sim sin validar la identidad correctamente. El caso sigue abierto judicialmente, pero lo importante es ser consciente de que esto pude llegar a suceder …
Ver: https://www.criptonoticias.com/comunidad/hombre-demanda-claro-luego-perder-bitcoins-binance/
Jump to: