El uso de la biometría para evitar el abuso de la tarjeta SIM podría generar problemas mayores

Tabla de contenido:

El uso de la biometría para evitar el abuso de la tarjeta SIM podría generar problemas mayores
El uso de la biometría para evitar el abuso de la tarjeta SIM podría generar problemas mayores
Anonim

Conclusiones clave

  • Los ataques de intercambio de SIM, que se basan en duplicados de SIM emitidos de manera fraudulenta, costaron a los ciudadanos estadounidenses más de $68 millones en 2021.
  • Sudáfrica planea asociar los datos biométricos al propietario de una SIM para garantizar que solo se pueda emitir una SIM duplicada al propietario legítimo.
  • Los expertos en seguridad cibernética creen que el uso de la biometría introducirá mayores riesgos para la privacidad, y la verdadera solución está en otra parte.
Image
Image

El uso de datos biométricos para resolver un problema de seguridad puede no ayudar a erradicar el problema, pero seguramente generará problemas de privacidad más graves, según sugieren los expertos en seguridad cibernética.

Sudáfrica ha propuesto recopilar información biométrica de las personas cuando compran tarjetas SIM para frustrar los ataques de intercambio de SIM. En estos ataques, los estafadores solicitan tarjetas SIM de reemplazo que utilizan para interceptar contraseñas de un solo uso (OTP) legítimas y autorizar transacciones. Según el FBI, estas transacciones fraudulentas totalizaron más de $68 millones en 2021. Sin embargo, las implicaciones de privacidad de la propuesta de Sudáfrica no les sientan bien a los expertos.

"Me solidarizo con los proveedores que buscan una manera de detener el problema muy real del intercambio de SIM", dijo Tim Helming, evangelista de seguridad de DomainTools, a Lifewire por correo electrónico. "Pero no estoy convencido de que [recopilar información biométrica] sea la respuesta correcta".

Error de enfoque

Al explicar los peligros de los ataques de intercambio de SIM, Stephanie Benoit-Kurtz, experta en seguridad cibernética de la Universidad de Phoenix, dijo que una SIM secuestrada podría permitir a los delincuentes ingresar prácticamente en todas sus cuentas digitales, desde correos electrónicos hasta banca en línea.

El desafío de recopilar datos biométricos no está solo en el proceso de recopilación, sino en asegurar esa información una vez que se ha recopilado.

Armados con una tarjeta SIM secuestrada, los piratas informáticos pueden enviar solicitudes de "Contraseña olvidada" o "Recuperación de cuenta" a cualquiera de sus cuentas en línea asociadas con su número de teléfono móvil y restablecer las contraseñas, básicamente secuestrando sus cuentas.

La Autoridad Independiente de Comunicaciones de Sudáfrica (ICASA) ahora espera usar la biometría para dificultar que los piratas informáticos obtengan una SIM duplicada al requerir datos biométricos para verificar la identidad de la persona que solicita la SIM duplicada..

"Si bien el intercambio de SIM es sin duda un problema importante, este podría ser un caso en el que el remedio es peor que la enfermedad", enfatizó Helming.

Él explicó que una vez que los datos biométricos están en manos de los proveedores de servicios, existe un riesgo real de que una violación pueda poner los datos biométricos en manos de atacantes, quienes luego podrían abusar de ellos de varias maneras altamente problemáticas.

"El desafío de recopilar datos biométricos no está solo en el proceso de recopilación, sino en asegurar esa información una vez que se ha recopilado", coincidió Benoit-Kurtz.

Ella cree que la biometría por sí sola no ayuda a resolver el problema en primer lugar. Esto se debe a que los delincuentes utilizan una variedad de métodos para obtener tarjetas SIM duplicadas, y que el proveedor de servicios las emita directamente no es la única opción a su disposición. De hecho, según Benoit-Kurtz, existe un vibrante mercado negro para obtener duplicados de SIM activas.

Ladrando al árbol equivocado

Benoit-Kurtz cree que los operadores y los fabricantes de teléfonos deben desempeñar un papel más activo en la protección del ecosistema móvil.

"Existen importantes desafíos asociados con la seguridad de los teléfonos y las tarjetas SIM que los operadores podrían resolver implementando controles más estrictos sobre cuándo y dónde se puede cambiar una tarjeta SIM", sugirió Benoit-Kurtz.

Ella dice que la industria necesita trabajar en conjunto para introducir mecanismos para evitar transacciones sin depender de múltiples pasos para validar el usuario y el teléfono en el que se está registrando la nueva SIM.

Image
Image

Por ejemplo, dice que algunos operadores como Verizon han comenzado a usar PIN de transferencia de seis dígitos, que son necesarios antes de que se pueda mover una tarjeta SIM. Pero ese es solo un punto de datos más en la transacción, y los estafadores también pueden ampliar sus trucos de ingeniería social para recopilar esta información adicional.

Hasta que la industria se intensifique, depende de las personas ser inteligentes y protegerse contra los ataques de intercambio de SIM. Un truco que sugiere es habilitar la autenticación multifactor para sus cuentas en línea y asegurarse de que uno de los mecanismos de autenticación envíe el código de verificación a una cuenta de correo electrónico que no esté conectada a su teléfono.

También sugiere usar un PIN SIM, un código de varios dígitos que ingresa cada vez que se reinicia el teléfono. "Asegúrese de usar las funciones de seguridad integradas en su teléfono para bloquearlo, de modo que pueda reducir su riesgo y proteger su SIM de manera proactiva".

Recomendado: