Estudio advierte sobre amenazas a la seguridad relacionadas con números de teléfono reciclados

Un nuevo estudio académico ha destacado una serie de problemas de privacidad y seguridad asociados con el reciclaje de números de teléfonos móviles que podrían ser abusados ​​para organizar una variedad de exploits, incluida la apropiación de cuentas, realizar ataques de phishing y spam e incluso evitar que las víctimas se registren en servicios en […]

Un nuevo estudio académico ha destacado una serie de problemas de privacidad y seguridad asociados con el reciclaje de números de teléfonos móviles que podrían ser abusados ​​para organizar una variedad de exploits, incluida la apropiación de cuentas, realizar ataques de phishing y spam e incluso evitar que las víctimas se registren en servicios en línea.

Se descubrió que casi el 66% de los números reciclados que se muestrearon estaban vinculados a las cuentas en línea de los propietarios anteriores en sitios web populares, lo que podría permitir el secuestro de cuentas simplemente recuperando las cuentas vinculadas a esos números.

“Un atacante puede recorrer los números disponibles que se muestran en las interfaces de cambio de números en línea y verificar si alguno de ellos está asociado con cuentas en línea de propietarios anteriores”, dijeron los investigadores . Si es así, el atacante puede obtener estos números y restablecer la contraseña en las cuentas, y recibir e ingresar correctamente la OTP enviada por SMS al iniciar sesión “.

Los hallazgos son parte de un análisis de una muestra de 259 números de teléfono disponibles para los nuevos suscriptores de las principales empresas de telecomunicaciones estadounidenses T-Mobile y Verizon Wireless. El estudio fue realizado por Kevin Lee de la Universidad de Princeton y el profesor Arvind Narayanan, quien es uno de los miembros del comité ejecutivo del Center for Information Technology Policy.

En el corazón del ataque, la estrategia es la falta de límites de consulta para los números disponibles impuestos por los operadores en sus interfaces de prepago para cambiar números, además de mostrar “números completos, lo que le da al atacante la capacidad de descubrir números reciclados antes de confirmar un cambio de número”.

Además, 100 de los números de teléfono muestreados se identificaron como asociados con direcciones de correo electrónico que habían estado involucradas en una violación de datos en el pasado, lo que permitió secuestros de cuentas de un segundo tipo que eluden la autenticación multifactor basada en SMS. 

“Una vez que obtienen el número del propietario anterior, pueden realizar ataques de suplantación de identidad para cometer fraude o acumular aún más PII sobre los propietarios anteriores”, explicaron los investigadores.