0%

Los delincuentes aprovechan los fallos de SS7 para vaciar las cuentas bancarias de las víctimas

The attackers were able to redirect SMS messages used for two-factor authentication in order to approve money transfers.

A principios de este año, los piratas informáticos explotaron las vulnerabilidades de los protocolos del Sistema de Señalización Nº 7(SS7) para eludir la autenticación de dos factores y robar fondos de las cuentas bancarias de víctimas alemanas, según el diario alemán Suddeutsche Zeitung. Los piratas informáticos robaron las credenciales de acceso al banco mediante correos electrónicos de phishing que parecían proceder de los bancos de las víctimas, y luego aprovecharon los fallos del SS7 para redirigir los mensajes SMS necesarios para confirmar las transferencias de fondos.

«Los criminales llevaron a cabo un ataque desde una red de una operadora de telefonía móvil extranjera a mediados de enero», confirmó un representante de O2 Telefónica de Alemania, según ArsTechnica. «El ataque redirigió los mensajes SMS entrantes de algunos clientes alemanes a los atacantes».

Ars Technica señala que el investigador de seguridad Karsten Nohl demostró el impacto potencial de los fallos en el SS7 el año pasado al grabar las llamadas y rastrear la ubicación de Ted Lieu, representante del Congreso de Estados Unidos.

A principios de esta semana, Lieu tweeteó, «He solicitado encarecidamente a la FCC y a la industria de las telecomunicaciones que solucionen el fallo de seguridad de #SS7. Quizás las pérdidas bancarias les hagan actuar».

«LAS CUENTAS BANCARIAS DE TODOS SEGUIRÁN ESTANDO EN RIESGO hasta que la FCC y la industria de las telecomunicaciones solucionen el devastador fallo del #SS7», añadió.

Una advertencia a los operadores de telefonía móvil

Mark Windle, director de estrategia y marketing de seguridad de Mavenir, dijo a eSecurity Planet por correo electrónico que la noticia debería servir de advertencia a la comunidad móvil. «Las operadoras ya están colaborando para comprender mejor las formas en que se pueden explotar las vulnerabilidades y así poder mitigarlas», dijo.

«La tecnología SS7 anterior podría reemplazarse por Diameter o SIP, pero SS7 existirá por lo menos durante los próximos 10 años, y la solución no es tan sencilla como cerrar un protocolo», agregó Windle. «Mientras haya acceso a la interconexión nacional e internacional, el problema seguirá estando ahí».

«Mientras tanto, al seguir abordando los fallos de seguridad en los protocolos de señalización mediante el uso de una solución óptima de varias capas, las operadoras pueden aumentar los niveles de confianza de los abonados, reducir las tasas de abandono y, lo que es más importante, proteger los dispositivos móviles», dijo.

Equilibrio entre seguridad y comodidad

Una encuesta reciente realizada a más de 800 representantes de instituciones financieras de todo el mundo reveló que el 24 % de los bancos tienen dificultades para identificar a sus clientes cuando prestan servicios bancarios digitales y en línea.

La encuesta, patrocinada por Kaspersky Lab y realizada por B2B International, también descubrió que el 30 por ciento de los bancos han tenido incidentes de seguridad que afectan a los servicios bancarios prestados a través de Internet, y el 59 por ciento prevé un aumento de las pérdidas financieras debido al fraude en los próximos tres años.

El 38 % de los encuestados indicó como una de sus preocupaciones el lograr equilibrar las técnicas de prevención con la comodidad para el cliente.

«Al pensar en los diferentes enfoques para asegurar los canales digitales y móviles, los bancos evitan poner demasiada presión sobre los clientes», comentó en una declaración el responsable de prevención del fraude de Kaspersky Lab, Alexander Ermakovich.

Fuente: https://www.esecurityplanet.com/hackers/hackers-leverage-flaws-in-ss7-to-drain-victims-bank-accounts.html

Solicitar una demostración

Estamos seguros de que no hay nada mejor que resolver los problemas del mundo real y aquí te mostramos cómo lo hacemos

Get in touch