Vulnerabilidad en el protocolo SS7 permite vaciar cuentas bancarias

Metro Bank, un banco del Reino Unido, fue víctima de un ataque al protocolo de comunicación móvil SS7 que llevó a los ciberdelincuentes a vaciar varias cuentas bancarias. Es solo cosa de tiempo para que este ataque llegue a Latinoamérica. 

Hackers lograron explotar fallas en SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar la forma en que enrutan los mensajes de texto y las llamadas en todo el mundo. Quienes lo hacen, pueden potencialmente rastrear teléfonos al otro lado del planeta, e interceptar mensajes de texto y llamadas telefónicas sin hackear el teléfono.

Esta capacidad solía estar sólo a disposición de agencias de inteligencia o contratistas de vigilancia, pero con este ataque se confirma que estos métodos llegaron y están ampliamente disponibles para actores maliciosos con motivaciones financieras que lo usan con más prevalencia de lo que se creía, como lo confirman el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés), de la seguridad de inteligencia del Reino Unido, GCHQ:

«Somos conscientes de que se está explotando una vulnerabilidad de telecomunicaciones conocida para atacar cuentas bancarias al interceptar mensajes de texto SMS utilizados como autenticación de 2 factores (2FA)» dijo la NCSC.

El ataque a Metro Bank movilizó a los proveedores de telefonía móvil. Vodafone declaró que «Hemos implementado medidas de seguridad específicas para proteger a nuestros clientes contra las vulnerabilidades de SS7 que se han implementado en los últimos años, y no tenemos pruebas que sugieran que los clientes de Vodafone hayan sido afectados. Vodafone está trabajando en estrecha colaboración con GSMA, bancos y expertos en seguridad. en este tema». La GSMA es un grupo comercial que representa a los operadores de redes móviles.

El ataque es preocupante, dado el uso generalizado de SMS como un canal de autenticación. «Los SMS se convierten cada vez más en una infraestructura de baja confianza, y hay otras opciones disponibles para proporcionar autenticación de factor adicional, incluidos los generadores de token locales y la biométrica», dijo Matt Walmsley, director de EMEA en Vectra.

«Los protocolos de comunicaciones heredados a menudo se diseñaban teniendo en cuenta la utilidad, no la seguridad”. «Hemos visto que los protocolos de fax de la vieja escuela se han utilizado recientemente para entregar cargas útiles maliciosas en impresoras multifunción. El uso de la infraestructura telefónica para actividades ilícitas tampoco es nuevo “, dijo Walmsley.

Debido a las fallas en la infraestructura de telecomunicaciones, la compañía británica de telecomunicaciones BT dijo que está actualizando constantemente sus sistemas. Según un informe de Reuters, el ataque no se limita a Metro Bank, sino que es una muestra de un ataque más amplio a los bancos en Gran Bretaña.

Dada la naturaleza global de los ataques, su expansión geográfica es sólo una cosa de tiempo. Es por eso que debemos ser conscientes de la existencia de esta falla y estar atentos y alerta.

¿Cómo podemos protegernos?

“Ya sea que los delincuentes utilicen los ataques SS7 de personas intermedias o participen en el intercambio de tarjetas SIM, esto demuestra que confiar en un método de autenticación de dos factores basado en SMS no es la forma más segura de proteger sus cuentas más confidenciales. «, dijo Jon Bottarini, hacker y director del programa técnico principal en HackerOne. «El uso de una aplicación de autenticación o una contraseña de un solo uso (TOTP) para la autenticación de dos factores es el mejor método para prevenir este tipo de ataques».

Aunque no hay una solución actualmente disponible, las empresas pueden comenzar a seguir un conjunto básico de reglas para ayudar a mitigar el problema y mantener a sus clientes seguros, y éstas las sugiere nada más y nada menos que Ryan Gosling. No, no el de The Notebook, el de Callsign… 

  1. Trabaja con un nivel de investigación adecuado: el uso de llamadas y SMS para la autenticación puede seguir siendo una forma segura de operar, pero sólo si la empresa que los usa cuenta con las medidas de defensa y seguridad adecuadas. Pagar a una compañía de seguridad que tiene un brazo de investigación integrado significa que cualquier nuevo ataque que surja, incluido el SS7, se marcará de inmediato y los métodos de protección se pueden actualizar según sea necesario.
  2. Las políticas de seguridad son primordiales: un proceso de seguridad flexible y robusto es fundamental para poder navegar por la vulnerabilidad de SS7. Las empresas deben mitigar los posibles escenarios futuros en los que SS7 podría verse comprometida. Por supuesto, las políticas internas deben revisarse de forma continua para que la empresa pueda estar segura de que existen los métodos de autenticación más adecuados.
  3. Integre un motor de inteligencia: el medio más completo para abordar SS7 es mediante la integración de un motor de inteligencia que puede identificar comportamientos inusuales. Al recopilar la cantidad máxima de puntos de datos disponible (incluidos el dispositivo, el intercambio de SIM, el desvío de llamadas, los estados de roaming, etc) de los servicios especializados y los MNO (Mobile Network Operator; Operador de Redes Móviles), las empresas pueden generar una imagen del comportamiento normal de sus clientes. De esta manera, pueden realizar una evaluación de un individuo que realiza una transacción y comparar estas acciones con la forma en que normalmente se comportarían. Cualquier información sobre el intento de fraude puede luego ser devuelta al motor de inteligencia para que pueda desarrollar una comprensión cada vez más detallada y precisa de cómo se ve un comportamiento inusual.

Entonces, ¿qué sucede cuando se marca una anomalía o se reconoce un posible compromiso de SS7? Para estas acciones, se otorga un «puntaje de riesgo más alto» a la transacción en cuestión y, a su vez, se le indica a la compañía que agregue pasos de autenticación adicionales para asegurarse de que el cliente sea quien dice ser. Las capas adicionales de autenticación podrían incluir el uso de un lector de tarjetas, la respuesta a preguntas de seguridad o la autenticación de comportamiento adicional.

Incluso con las políticas de seguridad más recientes y más seguras, todavía hay formas para que los estafadores exploten la vulnerabilidad de SS7. Los que están en la industria están tratando de resolver el problema con protocolos más nuevos, incluido Diameter para redes 4G, pero incluso éstos no han logrado erradicar por completo las vulnerabilidades que se encuentran con SS7. Por ejemplo, en las redes 4G, las llamadas y los SMS siguen utilizando SS7 para la compatibilidad con versiones anteriores y así garantizar una cobertura confiable. Al diseñar el siguiente protocolo, hay algunas consideraciones que deben tenerse en cuenta para que los consumidores estén más protegidos. En primer lugar, tener un sistema de comunicación seguro y efectivo que también reduzca el riesgo es clave. En segundo lugar, las empresas deben considerar los posibles casos de uso indebido desde el principio, así como los escenarios de uso regulares. De esta manera, pueden asegurarse de que la estrategia requerida pueda ser instigada para que puedan reducir dramáticamente la posibilidad de que se repita un caso como el de Metro Bank en su compañía o nuestro territorio…