Un estudio del Departamento de Ciencias de la Computación y el Centro de Políticas de Tecnología de la Información de la Universidad de Princeton llama la atención sobre los riesgos de seguridad y privacidad que se derivan del reciclaje de números de teléfonos móviles.

 

Los investigadores señalan cómo los actores de amenazas pueden abusar de esta práctica para llevar a cabo ataques de apropiación de cuentas, phishing y spam o restringir que los objetivos se registren en plataformas en línea.

 

El estudio examinó 259 números de teléfono disponibles para nuevos suscriptores en dos operadores. Los resultados muestran que el 66% de los números de teléfono móvil (171) todavía estaban vinculados a varias plataformas en línea, lo que los hacía susceptibles al secuestro de cuentas.

 

"Un atacante puede usar un número reciclado, que ha obtenido al suscribirse al servicio, para buscar información sobre el propietario anterior del número en la web o mediante servicios de agregación de datos, que están disponibles para cualquier persona a bajo costo", dijeron los investigadores.

 

La mayoría de los números disponibles dieron lugar a resultados en los servicios de búsqueda de personas, que proporcionan información de identificación personal sobre propietarios anteriores. Una vez que un actor de amenazas ha recopilado los datos, puede realizar ataques de suplantación de identidad y cometer fraude.

 

“Además, una fracción significativa (100 de 259) de los números estaban vinculados a credenciales de inicio de sesión filtradas en la web, lo que podría permitir secuestros de cuentas que anulan la autenticación multifactor basada en SMS”, agregó el investigador.

 

Además de los vectores de ataque mencionados anteriormente, el estudio muestra cinco amenazas de reciclaje de números adicionales dirigidas a propietarios anteriores y futuros, que incluyen:

 

Ataques de adquisición dirigidos: los atacantes se enteran de que la víctima ha cambiado su número de teléfono. Una vez que el número esté disponible, pueden obtenerlo para secuestrar cuentas en línea y hacerse pasar por el propietario anterior o acecharlo.

 

Ataques de smishing: una vez que se asigna un número de teléfono usado anteriormente a un nuevo suscriptor, los actores de amenazas pueden enviar un SMS falso para secuestrar cuentas y números telefónicos en línea.

 

Ataques de adquisición persuasivos: los estafadores pueden secuestrar cuentas en línea vinculadas, hacerse pasar por la víctima o leer nuevos mensajes destinados a la víctima falsificando un mensaje del operador. “Su número es parte de una investigación en curso sobre el propietario anterior y debe ser reclamado. Cambie su número en línea”, es solo uno de los mensajes falsos que un atacante podría enviar.

 

Spam: las víctimas pueden ser acosadas con mensajes de texto y llamadas no deseados. El atacante obtiene el número y se registra para recibir alertas, boletines informativos y llamadas automáticas, luego libera el número para su reciclaje.

 

Denegación de servicio: en este tipo de ataque, los actores de la amenaza obtienen un número y se registran en un servicio en línea que requiere un número de teléfono válido, y luego lo liberan de inmediato. Se denegará al próximo propietario del número que se registre en el mismo servicio, ya que una cuenta asociada con el número ya existe en el sistema. Luego, el atacante puede contactar a la víctima a través de SMS y exigir un pago para liberar el número de la plataforma.

 

La mejor manera de protegerse contra estos ataques es desvincular su número de teléfono de todos los servicios en línea antes de cambiarlo. Además, los usuarios pueden optar por una aplicación de autenticación para asegurarse de que sus cuentas en línea permanezcan seguras.