Metro Bank, un banco del Reino Unido, fue víctima de un ataque al protocolo de comunicación móvil SS7 que llevó a los ciberdelincuentes a vaciar varias cuentas bancarias. Es solo cosa de tiempo para que este ataque llegue a Latinoamérica. Hackers lograron explotar fallas en SS7, un protocolo utilizado por las compañías de telecomunicaciones para […]
Metro Bank, un banco del Reino Unido, fue víctima de un ataque al protocolo de comunicación móvil SS7 que llevó a los ciberdelincuentes a vaciar varias cuentas bancarias. Es solo cosa de tiempo para que este ataque llegue a Latinoamérica.
Hackers lograron explotar fallas en SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar la forma en que enrutan los mensajes de texto y las llamadas en todo el mundo. Quienes lo hacen, pueden potencialmente rastrear teléfonos al otro lado del planeta, e interceptar mensajes de texto y llamadas telefónicas sin hackear el teléfono.
Esta capacidad solía estar sólo a disposición de agencias de inteligencia o contratistas de vigilancia, pero con este ataque se confirma que estos métodos llegaron y están ampliamente disponibles para actores maliciosos con motivaciones financieras que lo usan con más prevalencia de lo que se creía, como lo confirman el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés), de la seguridad de inteligencia del Reino Unido, GCHQ:
«Somos conscientes de que se está explotando una vulnerabilidad de telecomunicaciones conocida para atacar cuentas bancarias al interceptar mensajes de texto SMS utilizados como autenticación de 2 factores (2FA)» dijo la NCSC.
El ataque a Metro Bank movilizó a los proveedores de telefonía móvil. Vodafone declaró que «Hemos implementado medidas de seguridad específicas para proteger a nuestros clientes contra las vulnerabilidades de SS7 que se han implementado en los últimos años, y no tenemos pruebas que sugieran que los clientes de Vodafone hayan sido afectados. Vodafone está trabajando en estrecha colaboración con GSMA, bancos y expertos en seguridad. en este tema». La GSMA es un grupo comercial que representa a los operadores de redes móviles.
El ataque es preocupante, dado el uso generalizado de SMS como un canal de autenticación. «Los SMS se convierten cada vez más en una infraestructura de baja confianza, y hay otras opciones disponibles para proporcionar autenticación de factor adicional, incluidos los generadores de token locales y la biométrica», dijo Matt Walmsley, director de EMEA en Vectra.
«Los protocolos de comunicaciones heredados a menudo se diseñaban teniendo en cuenta la utilidad, no la seguridad”. «Hemos visto que los protocolos de fax de la vieja escuela se han utilizado recientemente para entregar cargas útiles maliciosas en impresoras multifunción. El uso de la infraestructura telefónica para actividades ilícitas tampoco es nuevo “, dijo Walmsley.
Debido a las fallas en la infraestructura de telecomunicaciones, la compañía británica de telecomunicaciones BT dijo que está actualizando constantemente sus sistemas. Según un informe de Reuters, el ataque no se limita a Metro Bank, sino que es una muestra de un ataque más amplio a los bancos en Gran Bretaña.
Dada la naturaleza global de los ataques, su expansión geográfica es sólo una cosa de tiempo. Es por eso que debemos ser conscientes de la existencia de esta falla y estar atentos y alerta.
“Ya sea que los delincuentes utilicen los ataques SS7 de personas intermedias o participen en el intercambio de tarjetas SIM, esto demuestra que confiar en un método de autenticación de dos factores basado en SMS no es la forma más segura de proteger sus cuentas más confidenciales. «, dijo Jon Bottarini, hacker y director del programa técnico principal en HackerOne. «El uso de una aplicación de autenticación o una contraseña de un solo uso (TOTP) para la autenticación de dos factores es el mejor método para prevenir este tipo de ataques».
Aunque no hay una solución actualmente disponible, las empresas pueden comenzar a seguir un conjunto básico de reglas para ayudar a mitigar el problema y mantener a sus clientes seguros, y éstas las sugiere nada más y nada menos que Ryan Gosling. No, no el de The Notebook, el de Callsign…
Entonces, ¿qué sucede cuando se marca una anomalía o se reconoce un posible compromiso de SS7? Para estas acciones, se otorga un «puntaje de riesgo más alto» a la transacción en cuestión y, a su vez, se le indica a la compañía que agregue pasos de autenticación adicionales para asegurarse de que el cliente sea quien dice ser. Las capas adicionales de autenticación podrían incluir el uso de un lector de tarjetas, la respuesta a preguntas de seguridad o la autenticación de comportamiento adicional.
Incluso con las políticas de seguridad más recientes y más seguras, todavía hay formas para que los estafadores exploten la vulnerabilidad de SS7. Los que están en la industria están tratando de resolver el problema con protocolos más nuevos, incluido Diameter para redes 4G, pero incluso éstos no han logrado erradicar por completo las vulnerabilidades que se encuentran con SS7. Por ejemplo, en las redes 4G, las llamadas y los SMS siguen utilizando SS7 para la compatibilidad con versiones anteriores y así garantizar una cobertura confiable. Al diseñar el siguiente protocolo, hay algunas consideraciones que deben tenerse en cuenta para que los consumidores estén más protegidos. En primer lugar, tener un sistema de comunicación seguro y efectivo que también reduzca el riesgo es clave. En segundo lugar, las empresas deben considerar los posibles casos de uso indebido desde el principio, así como los escenarios de uso regulares. De esta manera, pueden asegurarse de que la estrategia requerida pueda ser instigada para que puedan reducir dramáticamente la posibilidad de que se repita un caso como el de Metro Bank en su compañía o nuestro territorio…
Adobe emitió un parche #urgente para una falla crítica en la plataforma de desarrollo web ColdFusion que está siendo explotada en la internet ¡Parchar debiera ser la prioridad número 1 de los administradores!
Como es costumbre, les traemos el resumen de los malwares más prevalentes de la semana pasada, de la recopilación que efectúa Talos, el grupo de inteligencia de Cisco, junto a sus Indicadores de Compromiso, para que los puedas utilizar en tu proceso de Threat Hunting.