Por Robert Hazlitt  

Para evitar el robo de bitcoins, se pueden usar servicios como Google Authenticator, en lugar de usar el teléfono móvil para autentificación de dos factores.

*** 

Los investigadores de Positive Technologies mostraron recientemente a Forbes cómo, con solo un nombre y un número de teléfono, los piratas informáticos pueden comprometer la cuenta de Google de alguien y usarla para llegar a sus bitcoins o sus cuentas bancarias.

Los hackers pueden hacer esto usando una falla en la red global de telecomunicaciones, que afecta lo que se conoce como Sistema de Señalización No. 7 (SS7). En un video de demostración, los investigadores pudieron tomar el control de una cuenta de Coinbase y hacer lo que quisieran con sus fondos, a través de una falla SS7. Teniendo en cuenta que Coinbase tiene más de 10,4 millones de usuarios, una gran cantidad de bitcoiners están en riesgo.

Una debilidad SS7 esencialmente permite a cualquier persona con acceso a la red de telecomunicaciones enviar y recibir mensajes de celulares específicos, con algunos ataques que permiten que los hackers intercepten textos, llamadas y datos de localización.

Los investigadores de Positive Technologies utilizaron por primera vez Gmail para encontrar una cuenta de correo electrónico con sólo un número de teléfono. Luego, restablecieron la contraseña de esa cuenta, lo que provocó que se enviara un código de autorización de una sola vez al teléfono de la víctima. Utilizando su vulnerabilidad SS7, interceptaron el texto y obtuvieron el código, tomando efectivamente el control de la cuenta.

La amenaza, como señala Forbes, no solo afecta a los usuarios Bitcoin, sino a cualquier persona vinculada a una cuenta de Google. El investigador Dmitry Kurbatov declaró:

Este hack funcionaría para cualquier recurso -moneda real o moneda virtual- que utilice SMS para la recuperación de contraseñas“.

La mayor barrera que impide a los hackers realizar este tipo de ataques es el acceso a la propia red SS7. Los investigadores de Positive Technologies tuvieron acceso a ella con fines de investigación y para ayudar a los operadores de redes a mejorar la seguridad. Los hackers malintencionados tendrían que comprar acceso, o hackear su camino. De acuerdo con Kurbatov el acceso se puede comprar en sitios web oscuros.

Mantener Bitcoin a salvo de ataques SS7

Si bien este tipo de ataque parece espeluznante, hay una manera de proteger los bitcoins si están en una cartera vinculada a una cuenta de Google: deje de usar SMS para la autenticación de dos factores. Los ataques SS7, según Forbes, no funcionan cuando el sistema de autenticación de dos factores se basa en códigos únicos, como en la aplicación Authenticator de Google.

Las aplicaciones como Google Authenticator son más seguras, tanto que el vicepresidente de operaciones de Coinbase, Daniel Romero, ha estado comunicando con los clientes sobre el cambio de la autenticación de dos factores basada en SMS a aplicaciones como éstas. Romero afirmó:

Además, hemos mejorado nuestros sistemas de monitoreo para prevenir amenazas de seguridad relacionadas con el teléfono. Seguimos monitoreándolo con vigilancia“.

Fuente: Cryptocoinsnews

Traducido para DiarioBitcoin por Robert Hazlitt

Imagen creada con Canva a partir de fotos de Pixabay

 

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.