Seguridad

Un hacker expone una fuga de códigos de autenticación de dos factores en SMS

Un investigador ha descubierto una base de datos desprotegida que rige el acceso a servicios de las empresas tecnológicas más grandes del mundo. La base de datos pertenece a un operador de enrutamiento de servicios de mensajes cortos (SMS) responsable de enviar códigos de autenticación de dos factores (2FA) a los usuarios de Meta, Google y empresas de criptomonedas.

El investigador Anurag Sen descubrió que la base de datos de la empresa YX International estaba expuesta sin contraseña en la Internet pública. Cualquiera que conociera la dirección del protocolo público de Internet (IP) podría ver los datos.

Usuarios afectados por una fuga de autenticación de dos factores

YX International envía códigos de seguridad a las personas que inician sesión en plataformas pertenecientes a Meta, Google y TikTok. La empresa garantiza que los mensajes de los usuarios se enrutan rápidamente a través de redes móviles en todo el mundo.

Entre los mensajes que envía se encuentran códigos de seguridad que forman parte de un esquema de autenticación de dos factores que muchas grandes empresas utilizan para proteger las cuentas de los usuarios.

Algunos proveedores de servicios, como Google, pueden enviar un código SMS para verificar la autenticidad de un usuario después de ingresar una contraseña. Otras opciones de autenticación incluyen generar un código desde una aplicación de autenticación para complementar una contraseña.

Si bien la autenticación de dos factores busca mejorar la seguridad, no es una solución milagrosa. En consecuencia, el exchange de criptomonedas Coinbase advierte que 2FA es una medida de seguridad mínima, pero no infalible. Los hackers informáticos aún pueden encontrar una manera de robar fondos de monederos cripto.

“Si bien 2FA busca mejorar la seguridad, no es infalible. Los piratas informáticos que adquieran los factores de autenticación aún pueden obtener acceso no autorizado a las cuentas. Las formas más comunes de hacerlo incluyen ataques de phishing, procedimientos de recuperación de cuentas y malware. Los piratas informáticos también pueden interceptar mensajes de texto utilizados en 2FA.”

Los hackers están utilizando estos métodos para vencer la 2FA

El año pasado, surgieron informes de delincuentes que eludían 2FA en dispositivos Apple. Un hacker podría acceder a la plataforma en la nube de Apple, iCloud, y reemplazar el número de teléfono de un usuario por el suyo.

El plan arriesgó los fondos en aplicaciones de monedero cripto en dispositivos Apple, ya que algunas aplicaciones podrían haber enviado códigos de autenticación a números de teléfono comprometidos. Los hackers también pueden utilizar intercambios de SIM para implementar scams cripto con autenticación de dos factores.

En esta línea de ataque, los hackers convencen a operadores móviles como AT&T o Verizon para que transfieran un número de smartphone del propietario legítimo al estafador. Después de eso, el delincuente solo necesita otra información más para acceder a una aplicación de monedero de autocustodia propiedad del verdadero propietario del número de teléfono.

Dado el auge de la tecnología cuántica, Apple mejoró recientemente la seguridad de su dispositivo de hardware Secure Enclave integrado en los iPhone. El esquema cripto poscuántico crea nuevas claves cada vez que un actor malintencionado compromete una antigua.

Esta característica podría ayudar a los desarrolladores de monederos cripto a mejorar la seguridad de sus clientes al almacenar información crítica en Secure Enclave. Hasta ahora, al menos un proveedor ya ha utilizado Secure Enclave para otorgar acceso a su aplicación de monedero.

BeInCrypto se puso en contacto con Binance, el mayor exchange de criptomonedas del mundo, y Coinbase para comentar si la filtración de datos de XY International afectó a sus usuarios. Ninguna de las empresas había respondido al cierre de esta edición.

Fuente

Click to rate this post!
[Total: 0 Average: 0]
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *