Nuevo estudio advierte sobre amenazas a la seguridad relacionadas con números de teléfono reciclados.

Un nuevo estudio académico ha destacado una serie de problemas de privacidad y seguridad asociados con el reciclaje de números de teléfonos móviles que podrían ser abusados ​​para organizar una variedad de exploits, incluida la apropiación de cuentas, realizar ataques de phishing y spam e incluso evitar que las víctimas se registren en servicios en línea .

Se descubrió que casi el 66% de los números reciclados que se muestrearon estaban vinculados a las cuentas en línea de los propietarios anteriores en sitios web populares, lo que podría permitir el secuestro de cuentas simplemente recuperando las cuentas vinculadas a esos números.

“Un atacante puede recorrer los números disponibles que se muestran en las interfaces de cambio de números en línea y verificar si alguno de ellos está asociado con cuentas en línea de propietarios anteriores”, dijeron los investigadores . Si es así, el atacante puede obtener estos números y restablecer la contraseña en las cuentas, y recibir e ingresar correctamente la OTP enviada por SMS al iniciar sesión “.

Los hallazgos son parte de un análisis de una muestra de 259 números de teléfono disponibles para los nuevos suscriptores de las principales empresas de telecomunicaciones estadounidenses T-Mobile y Verizon Wireless. El estudio fue realizado por Kevin Lee de la Universidad de Princeton y el profesor Arvind Narayanan, quien es uno de los miembros del comité ejecutivo del Center for Information Technology Policy.

El reciclaje de números de teléfono se refiere a la práctica estándar de reasignar números de teléfono desconectados a otros nuevos suscriptores del operador. Según la Comisión Federal de Comunicaciones (FCC), se calcula que cada año se desconectan 35 millones de números de teléfono en los EE. UU.

Pero esto también puede plantear serios peligros cuando un atacante realiza una búsqueda inversa ingresando aleatoriamente dichos números en las interfaces en línea ofrecidas por los dos operadores, y al encontrar un número reciclado, cómprelos e inicie sesión con éxito en la cuenta de la víctima a la que el número está vinculado.

En el corazón de la estrategia de ataque está la falta de límites de consulta para los números disponibles impuestos por los operadores en sus interfaces de prepago para cambiar números, además de mostrar “números completos, lo que le da al atacante la capacidad de descubrir números reciclados antes de confirmar un número cambio.”

Además, 100 de los números de teléfono muestreados se identificaron como asociados con direcciones de correo electrónico que habían estado involucradas en una violación de datos en el pasado, lo que permitió secuestros de cuentas de un segundo tipo que eluden la autenticación multifactor basada en SMS. En un tercer ataque, 171 de los 259 números disponibles se incluyeron en servicios de búsqueda de personas como BeenVerified y, en el proceso, se filtró información personal confidencial de propietarios anteriores.

“Una vez que obtienen el número del propietario anterior, pueden realizar ataques de suplantación de identidad para cometer fraude o acumular aún más PII sobre los propietarios anteriores”, explicaron los investigadores.

Más allá de los tres ataques de búsqueda inversa mencionados anteriormente, cinco amenazas adicionales habilitadas por el reciclaje de números de teléfono apuntan a propietarios anteriores y futuros, lo que permite a un actor malintencionado hacerse pasar por propietarios anteriores, secuestrar la cuenta de teléfono en línea de las víctimas y otras cuentas en línea vinculadas, y peor aún, llevar Ataques de denegación de servicio.

“El atacante obtiene un número, se registra en un servicio en línea que requiere un número de teléfono y lo publica”, dijeron los investigadores. “Cuando una víctima obtiene el número e intenta suscribirse al mismo servicio, se le denegará debido a una cuenta existente. El atacante puede contactar a la víctima a través de SMS y exigir el pago para liberar el número en la plataforma”.

En respuesta a los hallazgos, T-Mobile dijo que actualizó su página de soporte ” Cambie su número de teléfono ” con información sobre cómo recordar a los usuarios que “actualicen su número de contacto en cualquier cuenta que pueda tener su número guardado, como notificaciones de cuentas bancarias, redes sociales, etc. ” y especificar el período de vencimiento de números exigido por la FCC de 45 días para permitir la reasignación de números antiguos.

Verizon, igualmente, ha realizado revisiones similares a su página de soporte ” Administrar el servicio móvil de Verizon “. Pero ninguno de los portaaviones parece haber realizado cambios concretos que dificulten los ataques.

En todo caso, el estudio es otra evidencia de por qué la autenticación basada en SMS es un método arriesgado, ya que los ataques descritos anteriormente podrían permitir a un adversario secuestrar una cuenta habilitada para SMS 2FA sin tener que conocer la contraseña.

“Si necesita ceder su número, primero desvincúlelo de los servicios en línea”, dijo Narayanan en un tweet. “Considere los servicios de ‘estacionamiento’ de números de bajo costo. Utilice alternativas más seguras a SMS-2FA, como las aplicaciones de autenticación”.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *