Las grandes compañías están expuestas a vulnerabilidades que pueden causar graves pérdidas económicas, y algunas de estas provienen de procedimientos que aparentemente son seguros. Así lo pone de manifiesto la reciente demanda que ha recibido AT&T por el robo de un total de 24 millones de dólares sufrido por uno de sus clientes, el inversor de criptomonedas Michael Terpin. Lejos de realizar un complejísimo ataque que superase todos los cortafuegos y barreras de seguridad de la compañía de telecomunicaciones o de la plataforma de criptomonedas, los atacantes usaron un vector de ataque extremadamente sencillo: el número de teléfono del afectado.
Las tarjetas SIM son vulnerables
Terpin basa su demanda en la responsabilidad que tiene la operadora ante el ataque doble que recibió: el primero de los ataques consistió en la suplantación de su tarjeta SIM, que da acceso a su teléfono y por tanto, a todas sus aplicaciones en servicios online. En este sentido, las tarjetas SIM son esenciales en los procesos de autenticación de dos factores (2FA, por sus siglas en inglés). En teoría, no puede haber dos tarjetas SIM al mismo tiempo con el mismo número; por ello la autenticación de una cuenta online mediante el número de teléfono es un proceso que puede parecer seguro: el propietario de la cuenta recibe los tokens, esto es, los códigos de acceso de las cuentas online, generalmente por SMS directamente a su móvil.
Sin embargo, hay momentos en los que la tarjeta SIM puede no estar bajo el control del propietario y es cuando este ha perdido la tarjeta o se ha inutilizado de manera física. En ese momento se pueden transferir los datos al dispositivo de otra persona que suplante al verdadero propietario, ya sea intencionadamente o por error. Según la demanda, tras la primera suplantación de la tarjeta SIM, un empleado de AT&T habría compartido con un atacante uno de los tokens que Terpin recibió en su teléfono para reactivar la tarjeta SIM.
De esta manera, se habría producido el segundo ataque: el atacante, al tener el control de la SIM y, por tanto, de todas las cuentas online de Terpin con autenticación 2FA, pudo acceder a la plataforma de criptomonedas y así extraer su dinero. Terpin cree que el operador es negligente tanto por su empleado cómplice como por no cancelar la vinculación de sus datos con SIM lo suficientemente rápido como para anticiparse al atacante.
En cualquier caso, no ha sido el primer afectado por este tipo de ataques, ya que la autenticación 2FA es uno de los procedimientos más utilizados por las grandes compañías de servicios online. Por eso, muchos expertos han puesto en duda la seguridad de autenticación 2FA mediante el móvil.
Puesto que los usuarios quedan totalmente a expensas de sus propios dispositivos y de la seguridad de los procedimientos del operador de telecomunicaciones, esta autenticación como única medida de control también puede ser muy peligrosa para las grandes compañías. Sobre todo, si los empleados utilizan móviles corporativos que les proporcionen acceso a información sensible de la empresa. Como comentamos en un blogpost anterior, los directivos son el mayor riesgo para la seguridad móvil de las empresas y si además se trata de compañías de gran tamaño, las pérdidas por un ataque podrían ser millonarias.
El tamaño importa
Aunque puede sonar sorprendente, son las grandes compañías (y no las pymes) las que peor se comportan ante los ciberataques y vulnerabilidades. Así lo demuestran los datos del informe Penetration Risk Report de la consultora Coalfire.
El estudio demuestra que las vulnerabilidades de alto riesgo representan un 49% entre las empresas de gran tamaño, frente a un 38% para las pymes. Entre las vulnerabilidades más mencionadas en el estudio se encuentran los protocolos inseguros. En este último caso, entrarían los riesgos de seguridad en los móviles corporativos, como el que supondría una suplantación de la tarjeta SIM, como le sucedió a Terpin.
¿Cómo pueden las grandes empresas minimizar sus riesgos de seguridad móvil?
Como la doble autenticación 2FA ha demostrado ser insuficiente, los empleados deberían utilizar para sus dispositivos corporativos apps de autenticación. Estas generan un token temporal de 6 dígitos vinculado a las cuentas que se elijan, que se renueva automáticamente cada 30 segundos, por lo que reduce mucho las opciones de los atacantes de tomar el control de otras apps o servicios online aunque se hayan hecho con el control de la SIM.
Otra medida clave para mejorar la seguridad móvil es proteger la propia red de la empresa: los responsables de seguridad deben proporcionar a los trabajadores conexiones encriptadas para que los empleados accedan remotamente a los sistemas corporativos de manera segura, a través de las redes privadas virtuales (VPN).
Por último, es fundamental que la gran empresa cuente con soluciones de ciberseguridad avanzada que ofrezcan una visibilidad detallada de toda la actividad en el endpoint, un control absoluto de todos los procesos en ejecución y una reducción de la superficie de ataque. Contar con un socio como Panda para la Gran Cuenta es una garantía para evitar riesgos. Somos aliados de las Key Account con un departamento propio enfocado exclusivamente a dar soporte y soluciones específicas, así como para crear una estrategia de seguridad para empresas con más de 5.000 puestos de trabajo. Nos centramos en lo importante: nuestra estrategia está enfocada en proteger el endpoint, donde se almacena y procesa toda la información crítica de los empleados y la empresa. Así, logramos evitar que cualquier tipo de ataque, por complejo que parezca, ponga en riesgo la seguridad de las empresas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
