viernes, mayo 08, 2015

Protege tu SIM que es tu password de WhatsApp (y mucho más)

A pesar de que muchos son los proveedores de identidad que hay en Internet, a día de hoy la autentica identificación de la gente sigue siendo su número de teléfono. Si miras las tarjetas de visita de la gente, encontrarás muchas de ellas con cuentas Twitter, algunas con su dirección Facebook, y otras con redes sociales menos mayoritarias. Sin embargo, lo que seguro que sí que encuentras en todas ellas es una identidad local y otra global. La local es la dirección de correo electrónico de la empresa, que al ser un sistema interconectado - a diferencia de las redes sociales - ayuda a que cada organización gestione sus identidades. La segunda identidad que aparece es más global, y es el número de teléfono.

Figura 1: Protege tu SIM que es tu password de WhatsApp

El correo electrónico y el número de teléfono permiten sistemas de interconexión global, y por eso cuando WhatsApp tuvo que decidir qué sistema de identidad debía utilizar, no optó por crear una identidad nueva en sus servidores, y decidió utilizar el número de teléfono. El número de teléfono es una buena identidad para todos nosotros, y lo podemos utilizar no solo como forma de identificarnos en sistemas globales usando tecnologías como Mobile Connect, sino como forma de recuperación de cuentas de Gmail, Hotmail o Yahoo!, siempre que se asocie el número de teléfono a la cuenta.

Figura 2: WhatsApp usa el número como identidad de usuario

Además es todavía el segundo factor de autenticación más utilizado en Internet, y se usa como forma de autenticar proceso de login y transacciones, con los famosos One-Time Password que tanto se usa en el mundo de la banca. Utilizar el número de teléfono como identidad también fue algo que ayudó a iMessage a despegar - "robando" el los SMS de toda la vida al inicio -, y ahora WhatsApp, cuando das al botón de llamar de siempre en la app, ya utiliza una WhatsApp Calls, es decir, llamada Voz sobre IP utilizando como identidad el propio número de teléfono.

Protecciones y ataques a la SIM

Es por eso que hay que proteger la SIM que tiene nuestro número asociado. Es nuestra identidad para muchos servicios de Internet y por eso hay que tomar varias precauciones a los distintos ataques:
1) Guarda el PIN y el PUK con mucho cuidado: En el último tiempo, uno de los casos más tontos de espionaje de WhatsApp que vi se produjo robando el PIN de la SIM de uno de los miembros de una pareja. En la casa, tenían el código PIN y PUK que te dan cuando compras la línea en la misma caja del terminal móvil. En un descuido, el atacante pudo sacar la SIM del terminal y la configuró en un terminal Android, descargó WhatsApp y lo registró en ese dispositivo. Después, abrió una sesión en WhatsApp web que mantuvo abierta y devolvió la SIM al terminal anterior. La víctima solo se dio cuenta de que WhatsApp no le iba y lo volvió a registrar, pero sin saber que ya podían espiar las conversaciones de WhatsApp.
Figura 3: Código PIN y PUK de una SIM de Movistar
Si tienes esta tarjeta con el PIN y el PUK en un lugar accesible por cualquiera, estás dejando sin proteger todas tus identidades, porque en cualquier momento podrían usar tu SIM. Revisa ahora mismo dónde la tienes y asegúrala.
2) Evita SIMs antiguas clonables: Este es otro caso también de espiar WhatsApp que ya os conté en el pasado. Una persona contaba con una SIM antigua en un terminal antiguo y alguien se apañó para acceder a ella y clonarla, tal y como os contaba en este artículo: Suplantar un contacto de WhatsApp clonando su SIM
Figura 4: Clonador de tarjetas SIM antiguas
Si tienes una SIM actual no deberías tener problemas, pero si la tienes desde hace tiempo y la has ido migrando de un terminal a otro, es momento de que le des un vistazo a si tu modelo es clonable o no.
3) El SIM Swapping Attack: Los operadores de telecomunicaciones están obligados a ofrecer a los usuarios los mecanismos necesarios para que puedan portar un número de teléfono de un operador a otro. A este proceso se le conoce como SIM Swap. Los atacantes realizan ataques dirigidos con spear phishing a víctimas de troyanos bancarios a las que ya les han robado el usuario y la contraseña.
Figura 5: Servicio Swap My SIM de O2
El objetivo es conseguir con ingeniería social que se instalen un troyano que roba el SMS de confirmación del cambio de operador o directamente conseguir todos los datos para hacer la portabilidad. Ten mucho cuidado con este tipo de correos de spear phishing.  Por supuesto, si te hacen el ataque 1 o 2 también te pueden hacer el SIM Swapping.
Evitar el SIM Swapping Attack

Las empresas de telecomunicaciones ofrecen servicios para detectar SIMs portadas, lo que ayuda a una entidad bancaria a detectar si una operación inusual se está haciendo con una SIM que acaba de ser portada, lo que debería incrementar el riesgo de la operación. En Telefónica, a este servicio de antifraude le llamamos JetSetMe y además lo usamos para saber si una tarjeta está en roaming o no, lo que  permite reducir el fraude de tarjetas de crédito cuando la tarjeta de crédito y la SIM no están en la misma ubicación.

Figura 6: JetSetMe de Telefónica

Al final, tu SIM sigue siendo hoy en día tu raíz de confianza de muchos servicios de Internet, en parte gracias a ese contenedor seguro que aprovecha Mobile Connect y al que no puede acceder ninguna capa de tu smartphone ni, por supuesto, ningún software malicioso instalado en el terminal.

Saludos Malignos!

3 comentarios:

Jonathan Novel dijo...

Buenas,

Justamente hoy hace 10 días, es decir el 8 del mes pasado que me mandaron el Puk de mi sim ya que de tener como 4 y en el intento de hacer limpieza, se me fue la mano y tire la que no debía, la cual contenia el puk de la que uso a diario, lo que me asombro es que con tan solo ponerte en contacto por correo electrónico con atención al cliente me mandaron el siguiente mensaje desde Yoigo:

Hola:
El nº PUK de ésa línea es el: XXXXXXXX
¡Hasta la próxima!

Osease que con tener acceso a tu cuenta de correo, listo, ni preguntas ni un desafió de seguridad, nada de nada, simplemente les comente que avía perdido la targeta, que no tenia el puk y listo, alucinante estos de Yoigo, se pasan de amenos jejeje

Ahora ese numero lo tengo memorizado simplemente ;-)

PD: Ahora si que si, OFF

Saludos¡

Anónimo dijo...

Chema, ¿cuántos correos recibes al día de niños pidiéndote que les juackees el watsap? ha ha ha ha xD

Lorgi dijo...

Chema

En la publicacion se hace referencia a que cuiden en pin y el puk del sim, pero en el ejemplo se menciona que la persona obtuvo el sim lo puso en su celular instalo el app inicion la version web y listo.
Pero para poder usar la sim en otro equipo no es necesario conocer el pin y puk del chip. o al menos en america latina no.

En españa cuando alguien cambia el sim a otro celular pide el pin o puk del sim?. Gracias por la aclaracion.

Saludos

Lorgi

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares