El uso de la biometría para prevenir el abuso de la tarjeta SIM podría generar problemas mayores

March 29, 2022
EnNoticias Seguridad De Internet

Los ataques de intercambio de SIM, que se basan en SIM duplicadas emitidas de manera fraudulenta, cuestan a los ciudadanos estadounidenses más de $ 68 millones en 2021.
Sudáfrica planea asociar los datos biométricos al propietario de una SIM para garantizar que solo se pueda emitir una SIM duplicada al propietario legítimo.
Los expertos en seguridad cibernética creen que el uso de la biometría introducirá mayores riesgos para la privacidad, y la verdadera solución está en otra parte.

Alguien haciendo un escaneo de huellas dactilares para seguridad biométrica. — Teera Konakan / Getty Images

El uso de datos biométricos para resolver un problema de seguridad podría no ayudar a erradicar el problema, pero seguramente introducirá problemas de privacidad más graves, sugieren los expertos en seguridad cibernética.

Sudáfrica ha propuesto recopilar información biométrica de las personas cuando compran tarjetas SIM para frustrar los ataques de intercambio de SIM. En estos ataques, los estafadores solicitan tarjetas SIM de reemplazo que utilizan para interceptar contraseñas de un solo uso (OTP) legítimas y autorizar transacciones. Según el FBI, estas transacciones fraudulentas totalizaron

más de $ 68 millones en 2021. Sin embargo, las implicaciones de privacidad de la propuesta de Sudáfrica no les sientan bien a los expertos.

"Me solidarizo con los proveedores que buscan una manera de detener el problema muy real del intercambio de SIM". tim helming, evangelista de seguridad con DominioHerramientas, le dijo a Lifewire por correo electrónico. "Pero no estoy convencido de que [la recopilación de información biométrica] sea la respuesta correcta".

Enfoque incorrecto

Explicando los peligros de los ataques de intercambio de SIM, Stephanie Benoit-Kurtz, experto en seguridad cibernética de la Universidad de Phoenix, dijo que una tarjeta SIM secuestrada podría permitir que los delincuentes accedan a prácticamente todas sus cuentas digitales, desde correos electrónicos hasta banca en línea.

"El desafío de recopilar datos biométricos no está solo en el proceso de recopilación, sino en asegurar esa información una vez que se ha recopilado".

Armados con una SIM secuestrada, los piratas informáticos pueden enviar solicitudes de 'Olvidé mi contraseña' o 'Recuperación de cuenta' a cualquiera de sus cuentas en línea asociadas con su número de teléfono móvil y restablecer las contraseñas, esencialmente secuestrando su cuentas

La Autoridad Independiente de Comunicaciones de Sudáfrica (ICASA) ahora espera usar la biometría para hacérselo más difícil a los piratas informáticos. conseguir un duplicado de SIM solicitando datos biométricos para verificar la identidad de la persona que solicita el duplicado SIM.

"Si bien el intercambio de SIM es sin duda un problema importante, este podría ser un caso en el que la cura es peor que la enfermedad", enfatizó Helming.

Explicó que una vez que los datos biométricos están en manos de los proveedores de servicios, existe un riesgo real de que un la brecha podría poner los datos biométricos en manos de los atacantes, quienes luego podrían abusar de ellos en varias situaciones altamente problemáticas. formas.

"El desafío de recopilar datos biométricos no está solo en el proceso de recopilación, sino en asegurar esa información una vez que se ha recopilado", coincidió Benoit-Kurtz.

Ella cree que la biometría por sí sola no ayuda a resolver el problema en primer lugar. Esto se debe a que los delincuentes utilizan una variedad de métodos para obtener tarjetas SIM duplicadas, y que el proveedor de servicios las emita directamente no es la única opción a su disposición. De hecho, según Benoit-Kurtz, existe un vibrante mercado negro para obtener duplicados de SIM activas.

Ladrando al árbol equivocado

Benoit-Kurtz cree que los operadores y los fabricantes de teléfonos deben desempeñar un papel más activo en la protección del ecosistema móvil.

"Existen importantes desafíos asociados con la seguridad de los teléfonos y las tarjetas SIM que podrían resolverse mediante los operadores implementan controles más estrictos sobre cuándo y dónde se puede cambiar una tarjeta SIM", sugirió Benoit-Kurtz.

Ella dice que la industria necesita trabajar en conjunto para introducir mecanismos para prevenir transacciones. sin depender de múltiples pasos para validar al usuario y al teléfono que la nueva SIM está siendo registrado a.

Un montón de tarjetas SIM nuevas. — ra-fotos / Getty Images

Por ejemplo, dice que algunos operadores como Verizon han comenzado a usar PIN de transferencia de seis dígitos, que se requieren antes de que se pueda mover una tarjeta SIM. Pero ese es solo un punto de datos más en la transacción, y los estafadores también pueden extender sus trucos de ingeniería social para recopilar esta información adicional.

Hasta que la industria se intensifique, depende de las personas ser inteligentes y protegerse contra los ataques de intercambio de SIM. Un truco que ella sugiere es habilitar la autenticación de múltiples factores para sus cuentas en línea mientras se asegura de que una de los mecanismos de autenticación envía el código de verificación a una cuenta de correo electrónico que no está conectada a su teléfono.

También sugiere usar un PIN SIM, un código de varios dígitos que ingresa cada vez que se reinicia el teléfono. "Asegúrese de usar las funciones de seguridad integradas en su teléfono para bloquearlo, de modo que pueda reducir su riesgo y proteger su SIM de manera proactiva".