Hoy está aceptado que la autenticación de doble factor garantiza la seguridad en el tráfico de datos por Internet y en operaciones de compra por la web o en operaciones bancarias. Se trata en muchos casos de una segunda capa de seguridad para confirmar los datos del usuario. El ejemplo más extendido es el del envío de una clave al teléfono móvil del cliente vía SMS para que éste vuelva a confirmar la operación. Así, en los últimos dos años este concepto de seguridad se ha implementado de forma masiva. De hecho, hoy casi todos los usuarios de banca online han tenido que teclear alguna vez los 4 o 6 dígitos que el banco le envía por SMS para aprobar una transacción.
Sin embargo, Kaspersky avisa de que este método no está exento de sorpresas. Los cibercriminales pueden acceder a los mensajes de distintas formas y una de las más extravagantes es aprovechando un error en el protocolo SS7, utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen superar los sistemas de seguridad, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas.
Los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7, interceptan el mensaje e introducen el texto, como si tuvieran el teléfono del cliente. Los bancos aceptan la transferencia como legítima ya que la transacción se ha autorizado dos veces: con la contraseña del cliente y con el código de un solo uso. El dinero acaba en manos de los delincuentes.
Todo esto se podría evitar si los bancos utilizaran autentificación de doble factor que no dependiera de los mensajes de texto. Por ejemplo, una aplicación de autentificación o un dispositivo de autentificación hardware como Yubikei. Pero, de momento, la mayoría de las entidades financieras no permiten otros medios de autentificación de doble factor que no sea a través de SMS. Los analistas de Kaspersky Lab esperan que, en un futuro próximo, los bancos de todo el mundo puedan ofrecer a sus clientes otras opciones que mejoren su protección.
El pasado mes de enero de 2019, Metro Bank del Reino Unido confirmó a la web Motherboard que algunos de sus clientes sufrieron recientemente este tipo de fraude online. Esto no es algo nuevo, ya que en 2017, el periódico alemán Süddeutsche Zeitung informó de que los bancos alemanes se habían enfrentado al mismo problema. Pero también hay buenas noticias. Como comenta el propio Metro Bank, muy pocos clientes tuvieron que enfrentarse con un problema de seguridad de este tipo y “ninguno perdió su dinero”.