Topic: Sim swapping – lo oímos menos últimamente, pero sigue existiendo (Read 640 times)

De hecho, ya hay países y jurisdicciones en las cuales una forma criptografics tiene tanta validez y peso como una firma de puño y letra. Entre esas jurisdicciones están varios países Europeos, si no recuerdo mal.
La cuestión es que un plan así de masivo como el que he descrito requeriría una inversión y también la educación del público sobre la responsabilidad que se le está dando sobre su propia identidad, al darle acceso a claves privadas.
Es algo que igualmente sería realizable para un estado lo suficientemente rico, como Alemania o Suecia, el hacer algo así. Pero los vicios de la centralización y las bases de datos de los ciudadanos en un gentilicio entero con muy difíciles de superar para los gobiernos, especialmente aquellos que gozan de tener centrales de inteligencia con renombre internacional.

Es un escenario bastante interesante colega ya que va muy a la par de blockchain, es como si el usuario tuviera las llaves privadas mientras que el gobierno maneja las direcciones. Desde mi punto de vista esto podría funcionar bastante bien, en caso de un hackeo al gobierno entonces la información estaría segura ya que el atacante solo tendría acceso a datos encriptados y para desencriptarlos necesitaría la llave privada de cada ciudadano. Incluso dicha llave privada podría estar vinculada al ADN o a los biometricos de cada usuario. Sin embargo todo esto suena a ciencia ficción, vivimos en una sociedad en la que una firma a puño y letra sobre un papel tiene mas poder que una llave enciptada.

Esa clase de acontecimientos me hacen preguntarme a mi mismo si las cosas serían mejores o peores, en el caso de que el gobierno decidiese que nosotros tenemos que administrar nuestra propia identidad, utilizando criptografía asimétrica. Es algo que se que no pasará, pero varias veces (luego de leer cosas similares a esta noticia) se me viene a la mente un escenario de película donde el gobierno le entrega un dispositivo parecido a una hardware wallet a cada ciudadano, y con eso a firmar contratos legales, firmar la compra y venta de vehiculos e inmuebles. Cosas de importancia mayúscula.

¿Que crees que sucedería en un escenario así? Un hackeo centralizado no serviría de nada a los criminales, creo yo.

Creo que esto es un riesgo que se corre en cualquier país, justo el mes pasado salió la noticia de el hackeo en el SAT en México, El SAT es el Servicio de Administración Tributaria, y ellos tienen la información mas sensible que puede tener la ciudadanía ya que ademas de tener tus datos personales ellos cuentan con tu Firma Digital la cual nos sirve para emitir facturas. En el pasado dicha dependecia fue vulnerada y esto llevo a los atacantes a poder exigir el reembolso de los impuestos directo en sus cuentas, y es algo realmente alarmante.

El intercambio de tarjetas SIM no solo puede tener un impacto directo, sino que también puede tener consecuencias si se logra impersonar al afectado en las redes sociales de Acompañantes em Buenos Aires usando el control del número móvil.

Medio OT pero no vi rapido otro hilo en el cual podria ir.

Siempre que hablamos de esto sale el tema del DNI y datos virtuales activaciones , etc.
Ahora bien algo que pasa mucho hoy en dia es que uno cree estar a salvo porque NUNCA dio su DNI o lo que fuera, el problema es que cadavez sucede mas que las propias bases de datos del estado son vulneradas con demasiada facilidad.

Lo cual nos lleva a preguntarnos, vale la pena protegernos tanto? (obviamente que la respuesta sigue siendo SI) pero uno nunca esta completamente a salvo.

Dejo aca la noticia de un nuevo hackeo a otra dependencia del estado argentino en el cual se filtraron los carnets de conducir en este caso.

Pues sin la presencia física del titular de la línea para hacer la gestión de un duplicado de tarjeta sim, base para el llamado sim-swapping, parece que se abona el campo para que sea más factible hacer la pirula y engañar de alguna manera. Vamos, que si uno suele cambiar la tarjeta precisamente por haber perdido el móvil, la app ya no sería un canal de gestión factible (digo yo).

He mirado el protocolo de cara al usuario de Movistar en España, y éste explicita que, por motivos de seguridad, el duplicado sim debe gestionarse por parte del titular de la línea en una tienda del operador "con tus datos personales o con tu DNI". No me gusta el fraseado de la parte entre comillas, y quiero entender que es DNI o pasaporte la norma efectiva. Nada de apps ni canales alternativos por allí.

Se ve que la seguridad va por barrios, o mejor dicho, por rentabilidad corporativa ...

Ver: https://comunidad.movistar.es/t5/Bienvenida-y-Noticias/As%C3%AD-puedes-solicitar-un-duplicado-de-la-tarjeta-SIM-en-Movistar/td-p/4712121

Creo que globalmente se tiende a esto, aca es igual tambien de hecho Movistar que esta en todo el mundo hispanohablante dejo de tener oficinas comerciales en gran parte del territorio nacional y es todo via APP, whatsapp o llamado. Lo cual debo decir que anda muy bien hasta que tenes algun problema no contemplado por las respuestas normales....

Lo de que no fueron desarrolladas para ser contralor de seguridad es verdad pero eso tampoco quita que con simples cambios todo esto se solucionaría ejemplo como el que citaste al final y que se de buena fuente de que una compañia ofrece poner para ciertos tramites (baja o cambio de titularidad etc) una frase o un código que solo nosotros sabemos.

Acá en Argentina el sistema funciona bastante bien contra la base de datos del Renaper cuando uno se activa un chip se le hacen preguntas estilo, tiene relacion con fulanito? es pariente de pepito? la dirección tal es la suya? o cosas por el estilo, el problema de este sistema es que muchos de esos datos son conseguibles abiertamente o con minima ingeniería social.

Hay algo clave en el artículo arriba mencionado, las compañías de telecomunicaciones no fueron diseñadas para usarse como dispositivos de seguridad por un tercero.

Solo se diseñaron para hacer llamadas, y)o enviar mensajes de textos. Guardando las distancias entre pares "P2P". 

En otras palabras la seguridad que proveen es la que les funciona y que se adapta a sus costos, cualquier implementación genera costos operativos adicionales.

Aunque pareciera que es obvio, que la seguridad ha mejorado, si, pero por el lado de ellos, incluso donde vivo, todo es online, y para reclamos la Apps.

La realidad es que el uso de 2FA, huella dispositivo, encriptado debería ser la línea a seguir para los servicios a los cuales uno se afilia, pero el P .H. O. N. E. sigue siendo prioridad.

Lo mejor que pueden hacer las compañías es proponer una doble identificación para cualquier cambio de sus servicios. O un simple código de frases que adquiere cuando te asignan la línea.

El hecho de que existan protocolos de verificación de la identidad en las compañías telefónicas es un "se le supone". El problema es que éstos protocolos se pueden saltar, sea por falta de pulcritud en su seguimiento, o por complicidad de algún empleado. Entiendo que de todo queda traza, registrándose quién realizó qué gestión en el sistema, y esto probable mitigue el problema potencial, aunque como hemos visto, los casos saltan a la palestra de vez en cuando con resultados que pican.

Aunque no creo que ninguna operadora se libre de estos casos, es probable que existan algunas con mayor relajación que otras. Estoy pensando en las Lyca, Lebara y del perfil, pero sin que haya realmente localizado nada al respecto que sustente mi hipótesis. Por otro lado, es probable que los casos de mayor impacto sean precisamente de las compañías "top", como fue el caso de los 400 M $ robados de FTX mediante el sim swapping a un empleado.

Pues es la misma hipocresía de siempre con las compañías, por un lado, argumentan que hicieron todo de acuerdo a las normas y que su actuar fue el correcto, pero al mismo tiempo mencionan que han reforzado sus medidas para evitar el SIM swapping, pero si esto fuese cierto ¿Por qué necesitan reforzar las medidas contra este tipo de ataque? ¿No bastaría entonces, si sus dichos fuesen ciertos, en dejar las cosas así como están y ahorrarse así costos adicionales al implementar esas nuevas medidas?

El hecho de que estén dispuestos a hacer esto es indirectamente una admisión de culpa, pero no pueden hacer esto públicamente porque dañaría su imagen corporativa, así que, aunque parece claro que son responsables, han pasado a la ofensiva y han empezado a hacer uso del sistema legal para salirse con la suya.

Creo que muchas de las estafas y problemas que se dan con Sim-swap, en los que la persona lamentablemente sufre pérdidas económicas, podrían resolverse de forma relativamente rápida y facil si las agencias de telefonía hacen lo que se hacía hace no muchos años y le piden s la persona estar face to face en la agenciay presentar un ID. Obviamente, el ID tiene que coincidir con los datos de las persona en el contrato de la línea telefónica. Eso sería más que suficiente.

Sin contar que en Europa y en muchos países relativamente desarrollados de europa y america latina (como Chile), es usual que los ID tengan un chip con datos biométricos de la persona en cuestión. Haciendo aún más difícil wue alguien falsifique la identidad de un cliente de la operadora. A mí parecer, está operadora en particular puede haber sacrificado mucho la seguridad en pro de la comodidad de los usuarios. No se han interesado en buscar el equilibrio.

Perfectamente sancionados y es mas creo que la multa es poca porque es una brutalidad lo que hicieron, como vas a dar un duplicado (cosa que nisiqueira sabia que se podía hacer) a una persona FISICA de forma FISICA (valga la redundancia) sin corroborar si es la persona en cuestión o no.

OT: Recien me entero que es DIGI lo vi esta temporada auspiciando a muchos equipos de LaLiga de España como el Bilbao el Rayo Vallecano el Betis y varios mas en la parte trasera inferior de las camisetas y me preguntaba que sera que auspicia a tantos equipos. Bueno al final con esta publicidad no van a poder tapar esta pésima publicidad.

Leemos acerca de casos de sim swapping con consecuencias nefastas sobre el dinero o las cuentas de criptomonedas de las víctimas, pero lo que es menos habitual es que leamos sobre multas aplicadas a las operadoras por no poner los controles suficientes a esta práctica.

Recientemente, el operador de telefonía móvil Digi ha sido multado con 200.000 € por la Agencia Española de Protección de Datos, al realizar entregar un duplicado de una tarjeta sim a alguien que no era el titular. El usurpador de identidad luego aprovechó para aligerar la cuenta bancaria de la afectada a su favor.

Digi, el operador, no obstante ha recurrido la sanción, y ha solicitado que ésta se suspende. Reitera a su vez que procedieron de manera correcta, por lo que entiendo que están llamando de manera velada mentirosa a la persona afectada…

Ver:
https://www.genbeta.com/seguridad/multa-200-000-euros-a-digi-duplicar-tarjeta-sim-pedir-dni-darsela-a-estafador-que-no-dudo-robar-a-victima

Ya desde hace rato yo he recomendado a todos los que conozco que utilicen algún tipo de factor de doble utenticacion para utilizar WhatsApp desde otro cualquier dispositivo. Las estafas a través de esa aplicación de mensajería fueron muy comunes aquí en Venezuela desde hace dos años hasta finales del pasado. Sea como sea, aunque la persona efectivamente pierda el control completo de su buzón de voz, los atacantes necesitarías la huella dactilar o la contraseña del usuario para poder iniciar sesión desde el nuevo teléfono. Lo que parece insólito es la poca cantidad de gente que sabe de es buena práctica y que prefiere dejar la aplicación despritegida.
Demonios, incluso conozco a un señor que no solo no usa esa clase de autentificación con WhatsApp, sino que también tiene el smartphone sin contraseña, ni patrón, solo es cuestión de deslizar el dedo hacia arriba o presionar el boton de encendido para usarlo ...

No solo Venezuela mi estimado, creo que varios paises de latinoamérica e incluso México son la cuna de muchas estafas, como dices esto se debe a los elevados niveles de corrupción e impunidad.

Justo esta semana me enteré de un tipo de estafa el cual desconocía, en dicha estafa utilizan tu buzon de voz para robar tu cuenta de whatsapp. Me costó un poco entender como funciona la estafa pero resulta que nuestro vuzón de voz lo podemos revisar desde otro dispositivo, y si la clave que tenemos es algo simple como 0000, entonces el atacante puede solicitar el codigo de recuperación de cuenta a través de llamada, esto lo hace a elevadas horas d ela noche sabiendo que dicho código será enviado al buzón. Es una locura ¿no cren?

Jajajajaja a ponerse cianocrilato en las yemas.....

No, igual eso creo que es medio imposible que suceda asi te copien la huella, porque normalmente igual sigue existiendo otro factor prexistente sea un numero de cuenta o un token que cambia cada tantos segundos y miles de etc mas, es muy improbable hoy en dia ver algo a lo cual se pueda acceder remotamente con una sola verificación aunque esta sea biometrica.

Aunque bueno siempre esta latente la posibilidad y hay que cuidarse.

Yo le tengo mas miedo a las herramientas potentes de baterias que existen hoy en dia que permiten cortar hasta rejas llevándolas en una disimulada mochila.

::/DdmrDdmr/:::
Si uno Lee la noticia, pareciera que la banda tiene el catálogo de estafas phishing completa;

Fuente: OP.

De alguna manera el camino a este tipo de estafas tiene la ingeniería social, ya que no es una estafa random.

Y ahora que las eSim son más comunes pudieran tenerla más fácil (!?)

Muy triste y vergonzoso, pero lamentablemente es una realidad que aquí en Venezuela desde ya hace un tiempo que nos hemos convertido en algo así como la cuna de muchas estafas y métodos para sacarle el dinero a la gente de forma ilegal. Eso debido a la impunidad y al nivel de falta de información que sufren muchas personas que manejan sus cuentas bancarias. Los adultos mayores son especialmente vulnerables.

Uno pensaría que luego de un par de noticias como esta saliendo del viejo continente, hubiese Sido más que suficiente para que todas las operadoras Españolas (y quizá europeas) saliesen pitando a derogar los mensajes SMS y llamadas como método de autentificación, pero por aún motivo no lo han hecho. A saber por qué.

Ya que muchos de los teléfonos Android y IOS están ya incorporando biometría para la autentificación dentro de las aplicaciones bancarias y de exchanges, solo cabe esperar que cuando haya una masificación de los mismos, eso del simswapping quede ennel pasado. Ya veremos si luego tendremos que utilizar guantes todos los días por miedo a que algún maliante robe nuestras huellas digitales que dejamos en una baranda en el parque e intente hace moldes de hule que hagan Match con ellas.

 

En España, la Guardia Civil (cuerpo de policía) ha detenido a 7 personas de diversas nacionalidades por estar detrás de estafas mediante acciones de sim swapping, pero que además contaban con la colaboración en distintos grados de hasta 74 personas en Venezuela. La banda logró estafar un total de 3.381.000 €, esencialmente del robo de fondos de cuentas bancarias de sus víctimas.

Las criptomonedas salen en la noticia, sin citarse casos de robo a los estafados, pero sí dentro del conjunto de elementos intervenidos a los delincuentes: 2 tarjetas de criptomonedas y un monedero.

El articulo no detalla más, pero sería interesante conocer los detalles de cómo lograron engañar al operador telefónico (supongo que con compinches de alguna tienda de venta de telefonía).

Ver:
https://www.larazon.es/sociedad/guardia-civil-desmantela-banda-que-estafo-mas-tres-millones-sistema-sim-swapping_20240404660e60900999030001d0c93e.html

Al final dejarán que la noticia se haga vieja y se olvide. Es lo que suelen hacer muchas compañias y agencias de gobierno cuando han comedito un error que saben es bastante grave para el supuesto nivel que deberían de estar manejando. Sea como sea, creo que más allá del manejo de la credenciales por parte de la SEC, esto es un recordatorio de que Twitter/X sigue siendo uno de los blancos más apetecibles para todo tipo de criminal informático que desee hacerse de forma temporal con la cara, imagen y credibilidad de cualquier persona que tenga una cuenta verificada allí (claro que la verificación ahora sifnifica mucho menos que antes, desde que Musk se hizo con el poder de la red social).
Dejando a un lado la caída de su valor y las quejas de los usuarios por el tipo de contenido que se puede o no ver dentro de Twitter/X, sigue siendo unas de las redes líderes para la difusion de mensajes cortos alrededor del mundo en un abrir y cerrar de ojos.

Lo que faltaria es descubrir que las cuentas oficiales de la casa blanca y de POTUS no tienen factor de doble seguridad activado. 

Es inaudito, y por añadido precisamente en una de las noticias más esperadas de los últimos años, vaya coincidencia, bueno, como sucede con los "gringos" al estilo de black mirror, es posible que nunca sepamos la verdad.

La pregunta que me hago es eso real, o es esa la forma mas facil de sacarse la culpa ellos y echarsela a un tercero que nadie conoce y que todo quede medio en la nada para ellos?.

Ademas que imagino que la SEC debe usar unos numeros corporativos contratados muy especificos, es mas diria que ni existe ese numero, tal vez lo usaron para activar la cuenta y despues fue desactivado o eso imaginaria yo que se haria en grandes empresas o entes a fin de preservar aun mas ciertas cuestiones, dicho esto cuentas importantes tendrian que empezar a tener un multi-sig o cosas por el estilo, cuestion que no pueda un solo empleado/usuario acceder facilmente.

Hace poco vimos como la SEC indicaba que su cuenta en Twitter fue hackeada, y como consecuencia, alguien logró postear un mensaje indicando que los ETFs se habían aprobado, cuando aún faltaban varias horas para hacerse oficial.

Habían dudas acerca de la autenticidad del hackeo, y a mí me sonaba más a que alguien se había adelantado que a otra cosa. No obstante la SEC itera en la versión del hackeo, y lo atribuye a un caso de sim-swapping:


A su vez, indican que había tenían habilitado el 2FA en la cuenta, acorde a su protocolo interno, pero que llevaba meses desactivado por soporte (de Twitter) desde Julio 2023 debido a los problemas que tenían para acceder a su cuenta.

Ver:
https://www.computerweekly.com/news/366567197/SEC-Bitcoin-hack-was-result-of-SIM-swapping

Lo he mencionado varías veces, todos los somos, creerse el hecho de que eres no vulnerable es el error progresivo a qué esto suceda... la mejor manera es siempre estar alerta, informado pero sobretodo estos casos y no porque sea el personaje en si mismo, si no que vas y miras el caso, luego te dices a ti mismo " lo tengo cubierto" y luego en la redundancia revisar que puedes mejorar.

La mejor actualización que uno puede darse es documentarse de estos casos, la mejor estafa es la que no conoces y los tipos detrás de este tipo de malechorias lo mejor que hacen es buscar como mejorar las estafas tradicionales, casualmente las que siempre tenemos cubiertas.

Es por ello que cualquier actualización de este hilo o de esa información que aquí se manifiesta en donde sea es de lectura obligatoria, leer Sin swapping y decir " se de qué hablan" es lo que diría un experto.

La cuestión con las preguntas de seguridad, es que es un formato que en la mayoría de los casos, garantizan que el usuario pueda ir a través del proceso de recuperación de forma efectiva y sin asistencia de un operador. Eso es especialmente deseable cuando un servicio bancario o de telefonía va dirigido no solo a un público joven (que saben cómo moverse bien en el ámbito tecnológico), sino tambien a personas con desconocimiento de tecnología o seguridad básica.

El Banco de Venezuela posee método de preguntas y respuestas para reinicio de clave, por ejemplo. ¿es un peligro? Si, lo es.

Pero en su mente les funcionará por cuan barato les sale en equipos de atención al cliente. Se trata de facilidad para ambos el operador y el cliente. Lamentablemente, también es una facilidad para los criminales.

Lo que pasa es que se dan dos familias de casos de uso:

- El que obtiene la sim de otra persona mediante el engaño, aprovechando la falta de diligencia del representante de telefonía que le atiende.

- El trabajador que, de manera consciente, colabora en los hechos (cuando no los ejecuta él mismo).

El primero de los casos se puede abordar con mejores procesos internos, formación y diligencia, aunque dudo que se erradique (mitigar en el mejor de los casos). El segundo caso es el más complicado de abordar, donde si bien debería quedar traza de quién ha hecho la acción (o de las credenciales usadas del compañero), y eso podría/debería tener consecuencias cuanto menos laborales, es difícil evitarlo de por sí del todo a mi entender.

No he logrado dar con algún tracking del número de casos a nivel mundial (tampoco es algo que sea sencillo compilar), pero por tener una pequeña pincelada, aquí se cita la cifra de 1.611 casos en EEUU entre el 2018 y el 2020, con un montante defraudado entorno a los 68M $ (supongo que aglutinando desfalcos bancarios, cripto, etc.).

Esto es una VERGUENZA total , y ya lo hemos hablado anteriormente, pero es que es realmente inentendible como no se corrige esto, siendo que seria muy fácil de corregir.

Aca las preguntas que te realizan son demasiado basicas, y cualquiera que mire un poco tus redes sociales o te conozca podria hacerte el simswap sin mas, preguntas estilo.

X es tu padre?

Conoces a Y?

Vive en TTTT?

Impresentables, seria tan sencillo como aunque sea a esto agregarle un ultimo codigo de seguridad.

Entonces ha sido confirmado que Vitalik no tenía esa opción de seguridad habilitada para su cuenta?
De ser así es una gran ironía que una persona bastante entendida de la seguridad computacional y los lenguajes de programación se le hubiese pasado algo que muchos que lo que no tienden de esa materia, hacen.

Personalmente creo que los ataques que SIM swapping se harán cada vez más raros con el tiempo, a la vez que las compañías migran de ese método de autentificación a otros como las llaves físicas y no lo digo porque la mayoría de los usuarios de internet estén acostumbradas a ellas, sino porque hacía allá es donde apunta el futuro de los llamados "long in sin contraseña".

Binance deja entrar en tu cuenta solo con el correo y la llave de seguridad registrada, por ejemplo.

Entiendo que en el caso de Vitalik, si hubiese tenido activada el 2FA (*), se habría evitado la situación. Supongo que el hacker aún podría haber accedido a solicitar un restablecimiento de la contraseña (que no precisa el 2FA si no me equivoco), pero para acceder con la nueva contraseña sí precisaría el 2FA, cosa que no tendría el hacker.

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

(*) Sin la opción de mensaje de texto como mecanismo 2FA, sino authentication app o security key.

Dudo mucho que Vitalik haya tenido nada que ver, en parte porque ¿para qué, si ese dinero debe suponer calderilla para él? pero es alarmante lo que comentáis. No se trata de ningún aficionado precisamente. Si alguien tan conocedor de la parte técnica es vulnerable, todos lo somos. Quizá lo mejor, llegados a este punto, es mantener un perfil bajo en redes sociales, o mejor privado/anónimo.

Golpazo, y eso que estamos hablando de un hackeo de  muy vieja escuela. Como dijo famosos en casa de herrero cuchillo de palo....

Espero que mas adelante no nos enteremos que fue una maniobra del propio Vitalik o de algun allegado a el.....

Y la delicuencia cibernética es brutal, si uno tiene la "tarea" de hacer un post ellos la de meter la estafa en su data de "bola de nieve" alguien caerá.

Ahora bien, en casa de herrero cuchillos de palo. No sé justifica que alguien ligado al área sea vulnerable de esa manera.

Claro que el sim swapping no sólo puede afectar al propio impactado, sino que puede tener ramificaciones si, a través del control del número móvil, se logra impersonar al afectado en las redes sociales.

Así ha sido el reciente caso sufrido por Vitalik Buterin, la última victima de un ejercicio de sim swapping, y cuya cuenta de Twitter fue impersonalizada para robar a sus seguidores un equivalente de 690K $ en cripto. Los hackers lograron postear un link a un site malicioso, desde el cual el usuario lector debería conectar su wallet para minar un NFT conmemorativo.

No he entrado en los detalles del timo en sí, pero la base del acceso a la cuenta de Twitter (aka X) fue la de tener activa la opción de recuperación de la cuenta desde un número de teléfono asociado. Como asoció el suyo, los hackers pudieron hacerse con la cuenta desde su sim clonada.

Ver:
https://decrypt.co/156000/vitalik-buterin-sim-swap-attack-behind-700000-twitter-hack

Vuelvo a retomar el hilo porque aca en Argentina hubo un "sim swaping" bastante importante llevado acabo por estos meses, fue hecho sobre el ministro de seguridad de la ciudad de Buenos Aires y por ams que el tema este muy ranquilo reviste un escandalo mayusuculo la informacion que se le saco.

Tambien creo que teniendo el cargo que ocupa no se puede manejar tan infantilmente por la vida y hasta llego a desconfiar de la "veracidad" de este simswapping. Para mi aca fue algo mas.

https://www.infobae.com/politica/2023/01/21/peritos-de-la-ciudad-de-buenos-aires-explicaron-como-hackearon-el-celular-del-ex-ministro-dalessandro/

Si, creo que tiene lógica la explicación. Creo que se me pasó por alto que aunque tengan los número aún necesitarían alguna forma de filtrar las victimas más viables para estafar.

Me pregunto si entonces, intentarán hacer una intersección con otras filtraciones como has sugerido.

No sé si me he expresado bien:

En el listado figuran 10M de teléfonos usuarios de whatsapp en España. Eso es casi una quinta parte de la población del país (y cuento tanto los recién nacidos y nonagenarios - tiro largo por tanto). Es decir, yo podría llamar al azar a 10 teléfono móviles inventados del país, y daría con 2 usuarios del aplicativo. Vale que con la lista es un poco más ágil, pero como digo, casi podría hacer lo mismo sin la lista, llamar diciendo que soy de la whatsapp (la cual creo que no llama de por sí) y pedir datos, que no creo que nadie me los dé al no tener mucho argumento.

Por contraste, si fuese un cliente del Exchange Gemini, y se filtrasen los teléfonos (y seguramente datos de identificación tipo nombre y apellidos como mínimo), el intento ya es muchísimo más targetizado: saben tu nombre, saben que eres usuario de un Exchange y que probablemente tengas fondos allí, lo cual, si hablamos de realizar un intento de sim swapping ya tiene por lo menos posibilidades de darme acceso a su cuenta en Gemini (si se hubiesen filtrado saldos mejor para hilar más fino).

Es decir, el listado más concreto de usuarios de un Exchange como el de Gemini da muchas más posibilidades de poder hacer phising o ingeniería social con un objetivo (criptomonedas) y con un argumento (tu cuenta en Gemini está o va a ser bloqueada, bla bla bla). El registro es de más valor, dado que voy a por un nicho más conciso de clientes de un Exchange. En el caso de los registros de whatsapp, me da que no tienen este valor ni de lejos.

Permiteme diferir acerca de la utilidad que puede tener esta información.
Creo que con el número de teléfono es más que suficiente para hacer mucho daño, un atacante puede llamar y hacerse pasar por un proveedor de servicios de la misma operadora y engañar para que la victima suelte todo tipo de datos relevantes. Con esos datos pueden proceder con el Simswap facilmente.

Lamentablemente, muchos no saben de este tipo de ataques aún, ni como funcionan, por lo que más de uno dará su información sin pensarlo mucho.

Parece que el artículo de xatakamovil se equivoca al decir que España no se encuentra en la lista de países. El origen de la información creo que parte de este artículo de cybernews, donde el desglose de los datos hackeados por país es el siguiente:

España figura con casi 11 M de registros, lo cual es un número muy significativo de la base de usuarios activos de la herramienta.

He intentado ver el detalle de la información obtenida, y parece que no va más allá del número de teléfono. Es decir, alguien que se haga con el fichero conoce una serie (enorme) de teléfonos, pero sin más contexto de que son usuarios de whatsapp y sin saber datos personales adicionales.

Si es así, la lista se puede usar para hacer acciones de phishing, acciones comerciales, dar algo por saco en Whatsapp, y demás, pero tampoco lo veo tan útil. Lo que es más útil es cuando el listado contiene datos personales y/o un contexto targetizado, como por ejemplo, cuando el listado procede del hackeo de un Exchange determinado. En este supuesto, los hackers tienen un contexto para hacer el phising más efectivo (usuario de un Exchange determinado, ligado a criptomonedas, con posible nombre de pila de la persona). En el caso de una lista de whatsapp, parece más bien una lista fría de teléfonos sin apenas contexto.

Me gustaría aprovechar este hilo para compartirles una noticia ciertamente preocupante que encontré hoy y parece ser verídica. tiene que ver con el tema del Simswap, por cierto.

---

WhatsApp sufre una brecha de seguridad: más de 500 millones de cuentas filtradas

Fuente: https://www.xatakamovil.com/seguridad/whatsapp-sufre-brecha-seguridad-500-millones-cuentas-filtradas

---

Considerando que en el mundo hispano Whatsapp es una aplicación que se usa ampliamente, el hecho de que esta cantidad de números de teléfono de usuarios activos se filtre significa que inevitablemente se darán casos de Simswap, lo cuales sospecho serán herramienta para cualquier tipo de estafa que se nos ocurra: Suplantación de identidad, retiro de fondos de bancos y exchanges, etc.

Si usan Whatsapp, por favor activen la opción de 2FA que la aplicación ofrece, por lo menos eso debería evitar que otra persona que no sean ustedes acceda a sus contactos y chats desde un dispositivo adicional. Y como siempre, utilizar tokens diferentes al SMS en exchanges y bancos.

En principio, al no haber un SIM físico al pasarse al eSIM, la teoría dice que se reduce el vector de ataque de pedir un duplicado en la tienda (con compinche o incompetente de por medio), pero la eSIM tiene su componente software, y el software siempre acaba encontrando puntos de vulnerabilidad eventualmente.

Supongo que, en todo caso, es el propio proceso de cambio de terminal de las compañías, y preservación del número de eSIM, lo que nos dará una pista. Por ejemplo, leyendo el siguiente procedimiento, da la sensación de que con algo de ingeniería social (acceso al email, a cuenta Virgin) se puede lograr:
https://www.virginmobile.ae/help/what-should-i-do-if-i-lose-my-esim-registered-device/

He visto que ya hay casos de eSIM swapping, así que tampoco hay que bajar la guardia:
https://edtimes.in/all-you-need-to-know-about-e-sim-card-swapping-scam/

Vamos, que no parece que no vaya a proteger en demasía las cuentas en Exchanges, carteras custodiales, bancos y demás, y hay que tener las precauciones activadas.

Ya que estamos con este hilo.

Les parece que la adopcion masiva del e-sim supondra mas seguridad que la sim tradicional en este tipo de estafas?. O contrario a esto tambien sera mas dificil una vez estafados demostrar nuestra inocencia?.

Lo que voy leyendo es todo ventajas de la e-sim supuestamente en todos los apartados y mucho ams en el apartado seguridad, pero bueno siempre hay algo que no nos cuentan.

Se me antojan ejemplos de fraude muy elaborados, para lo que estamos acostumbrados en el día a día. Por otro lado, el primer caso habla de Brasil, el segundo de Reino Unido. Está bien saber que siguen sucediendo, y puede que cada vez más, para tener las alertas correspondientes siempre activas. Pero no me parece que sean prácticas tan comunes como para tenerles miedo. De momento. Al menos en el caso del Sim swapping, el segundo método sí que parece más fácil de realizar y, peor aún, frecuente.

No siendo de la misma problemática, pero con cierta relación tangencial, otro aspecto a cuidar es el spoofing de números de teléfono, mediante el cual, un maleante puede enviarnos SMS maliciosos o hacernos llamadas, impersonando los teléfonos oficiales de empresas, dotando así de mayor credibilidad al mensaje recibido.

Por ejemplificar, en UK has detenido a más de 100 delincuentes que habrían intentado estafar a más de 200.000 víctimas con todo tipo de timos, utilizando el spoofing telefónico como base, aunque el pool potencial de delincuentes que usaron este servicio se estima en 59.000. Curiosamente, han seguido el rastro de pagos por el servicio con bitcoin para llegar a dar con algunos de ellos, aunque no detalla exactamente cómo ni la cantidad de casos.

Ver:
https://www.diariobitcoin.com/paises/europa/reino-unido-europa/100-arrestados-miles-de-victimas-y-bitcoin-en-mayor-fraude-de-reino-unido/

Hay Sms, Código por email y 2Fa con App, son tres pin, entonces, pueden que te clonen la sim pero como hacen con la App (Pin) que se genera.

De hecho deberían agregarse las direcciones a la lista blanca, donde se repite el proceso anterior, y de hecho a pesar de tener una lista blanca puedes optar por solicitar que se ejecute nuevamente las tres comprobaciones anteriores incluso si están en la lista blanca.

Por cierto tienen también un código antiphishing, una clave de 4 dígitos que aparece en cada email que te envían para corroborar como adicional que el email que recibes es de Binance.

Hay que señalar que el 2fa puede ser por email, por sms y/o por APP, visto lo anterior como dice Darxiomi es lamentable que de seguro en la demanda esto salga a relucir y es obvio que hay negligencia interna, pero eso es increíble que algunas personas los llaman de servicios por ejemplo la empresa de Tv por satélite y les piden confirmar datos y chilin, chilin, queremos corroborar su DNI, teléfono, fecha de nacimiento, etc...

Esta noticia tristemente es la mejor publicidad que nos recuerda siempre que estamos expuestos, por mucha experiencia que se tenga, cuanto uno màs cree saber, entonces resulta en la frase colegial; "confianza mato al pescado" se viene a la mente esa por el termino anglo "fish" que literalmente no significa pescado pero pareciera.

Estaba mirando si, en el caso de Binance, aunque tuviésemos 2FA a través de una aplicación de autentificación, pudiésemos llegar a desactivarlo accediendo a través de las opciones de cambio de contraseña. Según he visto, parece que no, dado que si tienes 2FA con código de autentificación mediante app, éste es preciso para poder finalizar el cambio de contraseña.


Habría que ver no obstante que el reseteo de la contraseña pida el 2FA sí está habilitado en aquellas sites relevantes, a fin de ver su vulnerabilidad a un procesos de sim-swapping.

Es mejor seguridad tener 2FA con un Auntenticador en el telefono en vez de configurar un SMS, que puede ser clonado.

Ojo que generalmente la gente usa el Autenticador de Google, pero se puede usar cualquier otro, como AndOTP que es open source, y que te permite exportar los codigos para cuando cambias de telefono. Lo pueden encontrar aca: https://github.com/andOTP/andOTP o en fdroid.

Quizás una reflexión a realizar es que este riesgo se mitiga o elimina con la autocustodia de nuestros activos. Aunque el sim-swapping puede afectar a otras áreas de relevancia (cuentas bancarias, cuentas de correo, cuentas en tiendas, etc.) además de a las cuentas que podamos tener en Exchanges o entidades afines, los casos de uso se dan esencialmente cuando alguien que no somos nosotros mismos es el custodio.

Tener 34K $ en un Exchange no es necesario, salvo que te dediques al trading todo el día y precises tener liquidez para la operativa a muy corto plazo. Tenerlo como si fuese un banco no es lo suyo, y por uno céntimos te lo llevas a tu wallet de autocustodia sin problemas. Eso sí, sin olvidarnos de que muchos no van a saber ni querer saber nada de la autocustodia al ser algo más complicado que la custodia en una plataforma tercera.

Si me preguntas a mi, normalmente al igual que en los casos con los bancos la gente siempre miente a la hora de narrar lo que paso. Siempre dicen "no, no le di ningun dato, no se como paso etc" pero cuando te pones a ver en detalle si resulta que le paso muchisimos datos al malechor.

Las compañias telefonicas algunas son un total desastre con ese tema, por ejemplo aca en Argentina es muy facil dar de baja un numero de celular, solo conociendo el nombre o donde vive, tema por lo cual algunas compañias ahora entregan una especie de pin de seguridad el cual uno tiene que decir para ese tipo de operaciones (dar de baja, portabilidad numerica etc).

Cuando en Binance inicias el proceso asociado a "¿olvidaste la contraseña?", te informa de que no podrás retirar, hacer ventas p2p, ni acceder a los servicios de pago durante 24 horas. Esto, me imagino, está para mitigar los casos de acceso a la cuenta por parte de personas ajenas, dando un margen para poder actuar/avisar (si es que uno se entera).
La contraseña la puedes intentar recuperar bien mediante la cuenta de correo, bien mediante el móvil. En el caso del, el Binance le remite un código de verificación de 6 dígitos que hemos de introducir.

Según indica el enlace abajo referenciado:

Los métodos 2FA de Binance parecen ser: Llave de Seguridad, Autentificador de Binance, Autentificador de Google, móvil (SMS), y correo electrónico.

No sé cómo irá el proceso de recuperación de contraseña si tienes 2FA Google, pero si el usuario hubiese tenido 2FA por teléfono, con un SMS a la sim duplicada basta para hacerse con la cuenta.

Ver:
https://www.binance.com/es/support/faq/2d9adebbe9b446019f8895ce971d0870
https://academy.binance.com/es/articles/binance-2fa-guide

Me pregunto ¿Cómo pudo el Hacker hacer esos retiros, tenía la 2fa activada?

Para hacer retiros en Binance imagino que no tenía entonces la 2FA activada,el artículo dice que a través del teléfono y sms pudo hacer todo,pero eso es una vulnerabilidad considero,si tenemos todo en regla,el brasileño tuvo que tener activado esa seguridad.

Lo que me deja con toda la duda es que Binance al detectar que se hacen operaciones con otros dispositivos debería pedir otro tipo de seguridad,en mi caso cuando lo uso me piden que les dé permiso mediante un correo electrónico,esto me hace pensar mal,que hasta mismos trabajadores de Binance pueden estar en complicidad con esto.

Hacía tiempo que no leía acerca de casos de sim swapping que llevasen al robo de criptomonedas. La práctica sigue produciéndose no obstante, como nos recuerda el caso reflejado en el enlace a pie de post.

Según cita el artículo, un ciudadano de Brasil fue despojado de un equivalente a 34K $ en BTC de su cuenta en Binance. En diciembre del año pasado, el afectado vio cómo su número de teléfono dejó de funcionar. El servicio de atención al cliente lo resolvió dándole un nuevo número de teléfono, algo que ya de por sí se antoja una solución inadecuada, pero bueno.

Poco más tarde, el afectado se dio cuenta de que su cuenta en Binance había sido vaciada, habiendo el hacker accedido a la misma al poder cambiar la contraseña de la cuenta y tomar control de la misma. Esto, gracias a tener la tarjeta telefónica del afectado clonada (sim swapping), método que usó para poder cambiar la contraseña mediante el proceso de recuperación de contraseña (el cual se apoya en el número móvil asociado a la cuenta).

El afectado ha demandado a la empresa telefónica (Claro) por haber permitido que alguien pudiese hacerse con un duplicado de su sim sin validar la identidad correctamente. El caso sigue abierto judicialmente, pero lo importante es ser consciente de que esto pude llegar a suceder …

Ver: https://www.criptonoticias.com/comunidad/hombre-demanda-claro-luego-perder-bitcoins-binance/