Instagram acaba de anunciar que está trabajando en una doble autenticación que no requiere un número de teléfono. La red social es de hecho el objetivo de una práctica de pirateo de tarjetas SIM. Como señaló Motherboard el 17 de julio de 2018, la red social es particularmente vulnerable a cierto tipo de piratería, que se dirige a las tarjetas SIM.
Horas después de la publicación del artículo de Motherboard, Instagram confirmó que estaba pensando en una solución de identificación de dos factores, que no requiere enviar un mensaje de texto a un número de teléfono.
El 16 de julio, Jane Manchun Wong, ingeniera, publicó varias capturas de pantalla que mostraban una vista previa de cómo se vería la autenticación de dos factores en Instagram.
Validación vulnerable en 2 pasos
Por ahora, Instagram permite iniciar sesión en diferentes dispositivos, siempre que se confirme la identidad utilizando el número de teléfono asociado con la cuenta. Sin embargo, esta técnica es vulnerable al hackeo de tarjetas SIM.
Las investigaciones de Motherboard han revelado que personas malintencionadas están pirateando tarjetas SIM para usar el número de teléfono de Instagram, y revenderlas para obtener Bitcoin. Según los medios, estas cuentas robadas pueden valer entre $ 500 y $ 5,000 (entre € 430 y € 4.300).
Algunos hackers involucrados en estas maniobras afirmaron haber vendido las credenciales de la cuenta @t por $ 40,000 (en Bitcoin).
El proceso no solo le permite robar credenciales en Instagram, sino que también puede ser utilizado por hackers en plataformas como Amazon, Ebay, Paypal, Netflix o Hulu. Siempre que la autenticación dual requiera un número de teléfono, estos servicios son realmente vulnerables en caso de piratería de tarjetas SIM.
Tarjeta SIM 'perdida'
¿Pero cómo, concretamente, estas personas logran apropiarse de una tarjeta SIM? El proceso es simple y con la ayuda de ingeniería humana aún más. Primero llaman a la asistencia de un operador de Telefonía móvil, explicando que perdieron su tarjeta SIM, luego solicitan que la portabilidad del número asociado con esta tarjeta "perdida" se haga a una nueva tarjeta SIM, que ya está en poder de los usurpadores.
Muy a menudo, se aseguran de obtener el número de seguro social o la dirección de la persona que posee la tarjeta SIM, en las bases de datos pirateadas ya disponibles. Al brindar esta información, logran pretender ser su víctima y obtener la transferencia del número de teléfono a la nueva tarjeta SIM.
