Cómo hackearon al Presidente de Brasil y al CEO de Twitter

El atacante puede engañar a la compañía telefónica y pedir el cambio de tu número a una SIM bajo su control

Louise Ireland /  Especialista en Ciberseguridad / Columnista de El Heraldo de México
Louise Ireland / Especialista en Ciberseguridad / Columnista de El Heraldo de México

Hace algunos días, durante al menos 20 minutos, la cuenta de Twitter de Jack Dorsey (@jack), cofundador y CEO de la empresa, fue hackeada.

Unos meses antes, varios politicos brasileños—incluido el presidente Jair Bolsonaro—fueron víctimas de un hackeo que expuso mensajes con información sensible.

Aunque estos ataques tienen distintas motivaciones, metodologías de ataque y niveles de riesgo, ambos pusieron de relieve un asunto clave en el mundo digital de hoy en día: ¿cómo probar tu identidad online si los dispositivos que utilizas para verificarla pueden llegar ser secuestrados y controlados por alguien más?

En el caso de Dorsey, el atacante utilizó una metodología, llamada SIM-swapping (cambio de SIM), que no es particularmente compleja. Utiliza una función de los proveedores de telefonía móvil que te permite mantener el mismo número cuando cambias de tarjeta SIM, la cual puede ser muy útil cuando cambias de teléfono o de compañía. Sin embargo, cuando se usa de manera maliciosa, puede tener serias implicaciones de privacidad y robo de identidad.

¿QUÉ ES TU IDENTIDAD DIGITAL?

En el nivel más básico, la identidad digital está compuesta por dos partes:

1) Tu dispositivo móvil.

2) Tu cuenta principal de correo electrónico.

Una tarjeta SIM vincula tu dispositivo y tu número de teléfono. Si, por ejemplo, olvidas la contraseña de tu cuenta de correo, puedes solicitar un código de verificación que se envía a tu celular y te ayuda a recuperarla.

En este sentido, tu número telefónico y tu correo son el corazón de tu identidad digital.

EL ATAQUE

El atacante reúne información acerca de ti. Dado el creciente número de filtraciones de datos, esta parte es relativamente sencilla.

El agresor usa la información para suplantarte, engañar a tu compañía telefónica y pedir el cambio de tu número a una SIM que está en su control. La compañía de teléfono hace el cambio y ahora tu SIM pertenece a alguien más. El infractor inicia el proceso de recuperación de contraseña por medio de tu correo electrónico y recibe el código por medio de tu número telefónico.

QUÉ HACER PARA PROTEGERTE

Te recomendamos los servicios de autentificación multifactor de terceros, para que el atacante no pueda acceder a otras cuentas aun si tiene acceso a tu SIM.

Reduce tu huella digital. ¿Realmente necesitas compartir cada segundo de tu vida online? Recuerda que todo lo que publiques podrá ser usado en tu contra.

Crea una cuenta secundaria de correo electrónico. En lugar de vincular todo a una sola cuenta, utiliza varios servicios.

Usa un administrador de contraseñas, utilizar la misma es una pésima idea.

Ponte en contacto con Metabase Q para mejorar tus herramientas de ciberseguridad.

Escríbenos a [email protected] para obtener más información.

POR LOUISE IRELAND

[email protected]

@METABASEQ

edp

¿Te gustó este contenido?