A todos nos gusta que se simplifiquen al máximo los trámites para disfrutar de cualquier servicio, especialmente los relacionados con el entorno digital. Uno de los mecanismos más comunes para certificar la autenticidad de un usuario es utilizar un teléfono móvil, sistema muy utilizado, por ejemplo, en los pagos online. Ocurre que lo sencillo no parece casar muy bien con lo seguro y los hackers han comenzado a aprovechar este recurso para lanzar sus ataques. Y es que, emplear un número de teléfono móvil para autentificarse puede no ser tan aconsejable.

Un usuario de AT&T denunció hace escasos meses el robo de 24 millones de dólares en criptomonedas a causa, según su demanda, de la mala gestión de sus datos personales por parte de la empresa tecnológica. Se trata de un gran inversor que sufrió un primer ataque en su teléfono móvil que permitió a los delincuentes descubrir que tenía servicios contratados con AT&T, empresa que disponía de los datos necesarios para acceder a la tarjeta SIM de la víctima. Así, un segundo ataque habría conseguido sustraer estos datos, permitiendo a los hackers superar los controles de seguridad y acceder a varias cuentas financieras del usuario.

No es, desde luego, una técnica fácil de ejecutar para los ciberdelincuentes pero qué duda cabe de que si el botín es suculento (24 millones de dólares lo son), siempre habrá alguna mente malintencionada trabajando en ello. El sistema de seguridad que sufrió el ataque que hemos narrado era el conocido como 2FA, muy utilizado en el ámbito corporativo. Los expertos alertan de que para poder hacer uso de este mecanismo con seguridad conviene extremar las precauciones en la gestión de los números de teléfono. Esto es muy difícil de lograr si, por ejemplo, el director de una empresa sufre un hackeo en su teléfono móvil, exponiendo los números de sus empleados.

¿Qué medidas podrían adoptarse para mitigar los riesgos de este tipo de ataques? En primer lugar, resulta siempre aconsejable blindar las redes domésticas con protocolos de seguridad más exhaustivos (las redes privadas virtuales o VPN, por ejemplo). Las empresas más grandes podrían optar también por incorporar soluciones más avanzadas como las que ofrecen firmas especializadas como Key Accounts. Eso sí, ninguna de estas posibilidades dará plenas garantías si los empleados no se rigen por la más elemental prudencia en cuanto a la gestión de datos personales.

Acompáñanos a diario para no perder detalle de las últimas amenazas en línea.