Una historia escalofriante. Así se vive un ataque informático en primera persona
A la peor hora, cuando estás cansado después de una larga y agotadora jornada de trabajo, el pirata te contacta por chat y, sin anestesia, te pide plata para devolverte la cuenta de Instagram; suena horrible, pero experimentarlo es mucho peor
Ariel Torres
:quality(80):focal(673x382:683x372)/cloudfront-us-east-1.images.arcpublishing.com/lanacionar/V5RWGFLPZNH6JANSW777JGMPJE.jpg)
Si tu teléfono de pronto deja de tener servicio, lo primero que hay que pensar es en un ataque de SIM swappingTres horas antes había dado una charla sobre seguridad informática para la Facultad de Ciencias Económicas y Estadística de la Universidad Nacional de Rosario, y había hecho hincapié en que el peor error que se puede cometer es creer que a uno no le va a pasar, que nunca va a ser víctima de un ataque. Ahora estaba mirando atónito cómo a una persona muy cercana le habían robado su cuenta empresarial de Instagram. Eran las 11 de la noche y había sido una jornada agotadora.
Por obvias razones, voy a proteger identidades, ubicaciones, nombres de telefónicas y demás. Pero ahí lo teníamos, delante de las narices: lo que uno cree que nunca le va a pasar estaba pasándole –así, de la nada, sin aviso ni síntoma previo, y a la peor hora posible– a una persona a quien quiero como a un hermano. Años de esfuerzo invertidos en su emprendimiento, años de remarla todos los días, incluidos los fines de semana, y de sustraerle muchas (muchas de verdad) horas al sueño se habían esfumado por obra y gracia de un delincuente informático, lo mismo que sus varias decenas de miles de seguidores, ganados sin hacer trampa, uno por uno, fidelizados mediante contenidos de valor. Para rematar la escena con la que me encontré en su estudio, el delincuente le decía por chat que si pagaba le devolvía la cuenta. Con una impunidad indignante. Enseguida se develará la razón de esta impunidad.
Escribo este texto por varios motivos. Pero el principal es que la situación fue tan brutal y nos causó tal sensación de desamparo que, aun cuando los dos estamos muy fogueados en estos asuntos, pasaron al menos cinco minutos durante los que no supimos qué hacer. Luego, y aunque lo fuimos consensuando sobre la marcha (cada decisión debía tener un doble OK), lo que hicimos resultó en una serie de buenas prácticas (que resumiré al final). Hablé en estos días con Federico Kirschbaum –CEO de la compañía de seguridad Faraday– y con Daniel Monastersky –abogado especializado en ciberseguridad–, que me confirmaron que habíamos tomado las decisiones correctas.
Pero el dato importante, quizás el más importante de todos, es que si te pasa algo así lo primero que vas a sentir es bloqueo, desamparo y la más absoluta incertidumbre acerca de qué hacer a continuación. Eso no solo es normal (no hay nada mal en vos, no es porque te llevás horrible con la tecnología ni porque hayas hecho algo equivocado), sino que además el delincuente cuenta con que, para contrarrestar ese bloqueo, cometas un error, ejecutes una acción no meditada. Esperá.
Lo primero es no hacer nada. Excepto, por supuesto, empezar el proceso de recuperación de la cuenta. Cuanto antes mejor. “No hay que perder tiempo”, me dice Monastersky, y eso es verdad. Pero es igual de cierto que todo lo que hagas debe ser el resultado de un razonamiento lógico; o lo más lógico posible, dentro de la alteración nerviosa. A lo mejor lleva unos minutos más, y esos minutos parecen durar siglos, cierto, pero actuar como un atolondrado va a empeorar mucho la situación.
Por ejemplo, dado mi carácter, la primera reacción ante ese malandra que se tomaba el atrevimiento de extorsionar a esta persona tan querida fue la de cantarle cuatro frescas. Pero eso habría sido desastroso. Había que admitirlo, nos gustara o no: el control por ahora lo tenía el delincuente. ¿Por qué? Porque podía borrar la cuenta de Instagram y adiós. (En rigor, no es imposible recuperarla, pero suma otra capa de complicaciones.)
Así que anotátelo. Los primeros minutos son de caos total, temor, desorientación. El delincuente, además, insistía, adrede y consciente de la situación que estábamos viviendo, y su insistencia no hacía sino hacernos dudar más acerca de si responderle o no.
Bueno, no. No respondas. Ni siquiera le claves el visto. Salvo casos muy especiales, ignoralo, porque te está apremiando para que tropieces. Por ejemplo, el señor delincuente aseguró en un momento que todo el trámite de pagarle y recuperar la cuenta “iba a ser rápido”. Estaba mintiendo. Enseguida se verá por qué.
En medio del impacto emocional, hay que esperar que bajen la adrenalina y el cortisol, y luego tratar de pensar con la cabeza lo más fría que se pueda (no, no es fácil). Pero la confusión del principio, que es paralizante, no debe tomarse como una forma de debilidad, ni como algo que necesitemos contrarrestar. Es humano, es normal, y solo hay que evitar ponerlo al servicio del malviviente. Regla: en esos momentos, cualquier decisión visceral es casi seguro una mala decisión.
SIM swapping para todos
Cuando ese caos inicial empezó a ordenarse (sin lujos, entiéndase bien), me di cuenta de que además de no responderle al malandra era urgente determinar cuál había sido el vector del ataque. Porque si las computadoras y teléfonos que estábamos usando para intentar recuperar la cuenta estaban comprometidos, entonces el pirata podía saber todo lo que estábamos haciendo. Esa era la prioridad. Entonces, el dueño de la cuenta me dijo:
–No tengo 4G, por eso no deben estar llegando los SMS con los códigos de recuperación.
–No. Los SMS no llegan por 4G. ¿A ver? –le respondí, y llamé a su celular. Me dio apagado. Estaba ahí sobre la mesa, encendido, pero me daba apagado. Así que era eso. Le habían hecho lo que se conoce como SIM swapping; le habían robado la línea de teléfono. No el celular. Sino la línea. Por eso se llama SIM swapping.
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/lanacionar/J2NAFZYGZBBQPMN7ONVFBFHYKY.jpg)
El SIM swapping está pegando fuerte en los celulares asociados a cuentas con muchos seguidores. "Es un tema de la industria", dicen desde las telefónicasAlguien pidió un cambio de chip con los datos de la víctima, y adiós. Los datos que piden, créase o no, son públicos, sobre todo si cometés el pecado de tener un emprendimiento: el nombre, el DNI, el teléfono y algunas preguntas privadas (privadas en un mundo donde la privacidad ha desaparecido). Con esto y un poco de persuasión es suficiente. De allí también la impunidad del atacante: estaba usando una línea robada para chatear con la víctima. En la telefónica me aseguran que el delincuente “pasó todas las validaciones de identidad establecidas por fraude para estos casos.” En realidad, no hacen faltan muchas, sino solo una que funcione siempre bien. Por ejemplo, alcanzaría con un mail con un link de verificación, me confirma Kirschbaum. Como hacen Netflix o Google; tampoco es una super novedad. En cambio, el único mail que recibió la víctima fue uno en el que le informaban del cambio de chip. Hecho consumado, se llama.
Aquí queda clara la mentira del agresor: nada iba a ser rápido, si todavía quedaba ir a buscar un chip nuevo y recuperar la línea de teléfono. Pero el atacante quería hacerlo rápido para que no nos diéramos cuenta de que había robado la línea. Como casi no usamos el teléfono para hablar, por ahí tardamos horas en advertir que ya no hay servicio, especialmente si estas en tu casa con wifi. Así que no iba a ser rápido. El malandra necesitaba que fuera rápido, para que no bloqueáramos la línea. Siempre hay que leer críticamente los argumentos de estos sujetos, porque suelen ser un reflejo de sus puntos débiles. Cosa que, eso sí, solo notamos cuando nos dimos cuenta del SIM swapping.
En equipo
Por fin, teníamos una prioridad: bloquear la línea. Me dediqué a eso, mientras mi colega persistía en recuperar su cuenta. Descubrió así una excelente herramienta de Facebook que pide una serie de fotos del rostro para compararlas, mediante IA, con las publicadas en el perfil, y así poder cotejar si el que solicita recuperar la cuenta es quien dice ser. Supone, claro, que hay alguna foto propia en el perfil, lo que casi siempre es así; los fotógrafos profesionales, sin embargo, suelen tener miles de fotos, pero no aparecen en ninguna. Pero es una herramienta inteligente con la que pusimos en marcha un proceso de recuperación que, cuando menos, levantaba un alerta en Instagram sobre que esa cuenta estaba en riesgo. Llevaría entre tres y cuatro días completar el proceso. En la compañía me dicen que el recuperar o no una cuenta depende básicamente de que les envíes toda la información que solicitan; así que no es ninguna mala idea tener guardadas capturas de pantalla de tu perfil, seguidos y seguidores con los que más interactuás, y todos los datos que no puedas memorizar fácilmente. Todo sirve, y debo decir que en esta situación angustiante, e incluso por medios automatizados, Instagram estuvo a la altura de las circunstancias.
Lamentablemente, la autenticación de múltiple factor estaba configurada por SMS, lo que en general es una mala idea. Hay que usar una app como el Authenticator de Google, que se asocia al dispositivo y no a la línea de teléfono. Pero, para eso, ya era tarde. Consejo: en medio de la crisis, lamentarte por lo que no hiciste antes no sirve de nada y es una pérdida de tiempo.
Para bloquear la línea me puse a llamar a atención al cliente de la telefónica, que nunca atendió. Llamé 160 veces a un número que se supone que atiende las 24 horas, para que no queden dudas de que realmente insistí. Hagan números. Trabajando a toda velocidad y dedicándole, digamos, 30 segundos a cada llamada, 160 veces es una hora y media (80 minutos, pero cada tanto me tomaba un respiro brevísimo).
Encontramos que la telefónica también ofrecía atención al cliente por Twitter, donde sí respondieron, pero tan pronto apareció la frase SIM swapping dejaron de hablarnos; a lo mejor era un bot. Entre tanto, mi colega, que exploraba otras opciones de contacto, descubrió el *910, que es un servicio estatal automatizado que deriva a la telefónica correspondiente. Esta vez sí atendieron. Era la una y media de la mañana.
Bloqueame que me gusta
En 10 segundos, el agente de soporte de la telefónica bloqueó la línea. Duda razonable: ¿si llamo al *910 me voy a quedar sin la línea? No. Alcanza con pedir un nuevo chip para recuperarla. Así que dejamos al malviviente sin acceso a la línea y como a las 3 de la mañana suspendimos el rescate, no tranquilos, pero al menos con la certeza de que no iba a seguir causando daño.
Es un hecho: poder bloquear una línea rápido, solo con tus datos públicos, tiene sentido, por si te robaron el celular; y porque en seguridad los falsos positivos nunca son un problema. Pero entregar tu línea debería ser más complicado. En algunos casos, la telefónica pide que el abonado vaya personalmente con su DNI para hacer un cambio de chip. “Pero podrían tener otros canales para hacer este trámite”, me confían desde la industria.
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/lanacionar/MVAK4P6RO5HZPAYRXO7TS5DWCY.jpg)
Yubikey, un segundo factor de autenticación bajo la forma de un pendrive; lo fabrica la compañía YubicoEn principio, según la definición del manual, el SIM swapping o SIM swap es cuando el pirata convence al empleado de la telefónica para que haga el cambio de chip por medio de técnicas de ingeniería social. De ser así, se impone urgente una política de zero-trust (mi favorita, dicho sea de paso). Es decir, el empleado solo te va a cambiar el chip si vas en persona, con tu DNI y solo si ese DNI es el último del padrón, como cuando vas a votar. Si no, por mucho que llores, no te lo van a cambiar. Las excepciones (obvias, por otro lado), que las maneje un supervisor.
El problema parece haberse agravado en el mundo, argumentan, debido a la pandemia, porque se pasó por alto el cambiar el chip de forma presencial. Es un argumento frágil. Los gigantes de Internet nunca requieren que vayamos de forma presencial a hacer ningún trámite, y no sufren estos episodios. Cualquiera sea el escenario, lo que no parece del todo claro para nadie –incluidos los usuarios– es que la línea de teléfono funciona ahora como método de autenticación, y todavía no es lo bastante segura para asumir ese rol. ¿Eso significa descartar los SMS con códigos de verificación? Sí, exacto, del todo, absolutamente y para siempre.
Manual de procedimientos (un borrador)
Luego, con el diario del día siguiente, pude ver esas casi cinco horas frenéticas con un poco de perspectiva, y un patrón quedó bastante claro. Ante un ataque en general, los pasos por seguir son:Dilatar todo lo posible el diálogo directo con el atacante; evitarlo, idealmente.
Identificar el vector del ataque (phishing; SIM swapping, etcétera). Básicamente hay que establecer si comprometieron el sistema que estamos usando para intentar recuperar las cuentas robadas.
Iniciar cuanto antes el trámite para recuperar las cuenta.
Medidas de precaución:Evitar caer en trampas de ingeniería social. Te pueden robar tus cuentas no solo con un SIM swapping.
Usar autenticación de múltiple factor mediante una app, no mediante el número de teléfono.
Imprimir los códigos de respaldo de la plataforma (Instagram, Google, Twitter, etcétera). Sí, en papel, y guardarlos a buen resguardo.
Tener registrada toda la información posible sobre tus cuentas, porque (por obvias razones) te van a pedir eso para verificar que sos quien decís ser. Y eso está bien.
http://indecquetrabajaiii.blogspot.com.ar/. INDECQUETRABAJA
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.