En nuestro artículo del nivel principiante- El teléfono y computadora del usuario hablamos de la manera en la que la privacidad del usuario se ve comprometida a través de los dispositivos que más utiliza, su teléfono celular y computadora. En este artículo nos concentraremos en el caso de los celulares, que son el dispositivo más utilizado.

Los teléfonos celulares de la actualidad son computadoras muy poderosas a pequeña escala; tienen disponible una enorme capacidad de almacenamiento y procesamiento y, dada su portabilidad y facilidad y frecuencia de uso, hay disponibles miles de aplicaciones de uso exclusivo en teléfonos inteligentes. Correos, mensajería, aplicaciones de chat, billeteras, software bancario, notas personales, fotos y videos representan solo una fracción de las aplicaciones y usos que el usuario promedio le da a su celular. Ahora que representan una mayor recompensa, los teléfonos inteligentes han empezado a atraer mucho interés malintencionado. Veamos a detalle algunas cuestiones relacionadas a la privacidad del usuario y cómo puede verse comprometida.

  • La protección de cualquier contraseña o PIN es absolutamente esencial. Sin ella, el celular del usuario es como una casa con la puerta abierta; lista para que cualquiera entre a tomar lo que desee.
  • Las aplicaciones descargadas de tiendas no oficiales también son peligrosas; ya que nadie verifica su validez o integridad, los atacantes se sienten atraídos y se aprovechan de la falta de seguridad. Es de suma importancia descargar aplicaciones únicamente de app stores oficiales, sin importar el sistema operativo del teléfono.
  • Las aplicaciones desbloqueadas o crackeadas también representan un peligro, pues pueden contener malware indetectable que puede llegar a tomar control del teléfono para darle acceso a un tercero sin que el usuario lo sepa.
  • Los llamados jailbreaks también son peligrosos porque desactivan muchas de las medidas de seguridad del teléfono y lo dejan en esencia abierto a cualquier ataque.
  • El Wi-Fi gratuito tiene también sus desventajas. Una red de Wi-Fi abierta no encripta los datos que transmite, por lo que un atacante puede espiarlos y apropiarse de información sensible (como las contraseñas del usuario).
  • Incluso el software normal, como lo son los exploradores, por ejemplo, puede alterar la privacidad de un dispositivo. Lea más al respecto en nuestro artículo sobre exploradores del nivel principiante.

Además, hay muchos otros métodos más peligrosos y sofisticados que se emplean para rastrear al usuario a través de redes móviles (aunque claro, el usuario puede tomar medidas para protegerse, como por ejemplo apagar el celular).

Uno de los métodos más preocupantes es un hack que se aprovecha de un servicio de intercambio de redes llamado Signalling System No. 7 (SS7). Si logra explotarlo adecuadamente, el atacante puede leer mensajes de texto, escuchar llamadas y rastrear teléfonos inteligentes por medio de la triangulación de antenas celulares, utilizando solo el número de teléfono como identificador. Puede leer sobre los ataques SS7 más adelante.

En resumen, la encriptación total del dispositivo es lo ideal para evitar cualquier violación de la privacidad del usuario si este pierde su teléfono por robo o extravío. Los dos sistemas operativos móviles más populares, iOS y Android, tienen disponible esta opción.

Los SMS como método de A2F

De ser posible, le sugerimos no utilizar mensajes SMS como método de autenticación de dos factores, pues hay muchas maneras en las que un tercero puede acceder a los mensajes y llamadas entrantes de un teléfono.

La primera y más sencilla es un método llamado ingeniería social. Ha habido incidentes en los que un atacante ha logrado convencer al empleado de una compañía telefónica de que “su” teléfono se extravió o que su tarjeta SIM se rompió, por lo que necesita un reemplazo inmediatamente. El atacante menciona también que acaba de mudarse, por lo que da una nueva dirección para recibir una segunda tarjeta. Aunque este tipo de ataque no suele funcionar a la primera, el atacante puede llamar repetidamente al número de servicio al cliente de la compañía hasta encontrar a un empleado dispuesto a cumplir con su solicitud.

Otro método empleado por atacantes es el de contratar a un nuevo proveedor de servicio y pedir que el número de teléfono se transfiera. La mayoría de los proveedores le ofrecen al usuario la opción de conservar su número al cambiarse de proveedor, lo cual deja abierta una ruta de ataque sencilla pero efectiva.

Podríamos continuar enumerando los posibles métodos de ataque, pero lo que importa es recapitular que el número telefónico de usuario es un blanco fácil. Puede leer más sobre la A2F en nuestra sección sobre mejores prácticas.