Las eSIM no son tan seguras como creíamos, son un blanco fácil para hackers
Un equipo de investigadores ha identificado un nuevo tipo de ciberataque que aprovecha una vulnerabilidad en las tarjetas eSIM para obtener ilegalmente números de teléfono.
Tus datos bancarios y personales en peligro
Con esta información, los hackers pueden acceder a códigos de verificación y sortear la autenticación de doble factor, permitiéndoles ingresar de manera no autorizada a diversos servicios, como aplicaciones bancarias o de mensajería instantánea.
Las tarjetas eSIM, una forma electrónica de la tarjeta SIM convencional, son utilizadas para activar planes de datos y telefonía móvil sin necesidad de una tarjeta física.
Esto simplifica la experiencia del usuario al permitirles utilizar múltiples números desde un mismo dispositivo, eliminando la necesidad de tarjetas físicas y operando de manera digital.
Vulnerabilidad en las eSIM
En un reciente informe publicado en su sitio web, la firma rusa de ciberseguridad FACC ha alertado sobre el abuso de una vulnerabilidad encontrada en las tarjetas eSIM.
Los ciberdelincuentes pueden aprovechar la función de reemplazar o restaurar una tarjeta eSIM para tener acceso al número de teléfono del usuario afectado y transferirlo a su propio dispositivo con una eSIM.
Según el informe, FACC ha detectado más de cien intentos de acceso no autorizado a cuentas personales de usuarios en una entidad financiera utilizando este método específico. Además, la compañía confirma que estos ataques se han estado produciendo a nivel global durante al menos un año.
Robo de número telefónico brida acceso a muchos servicios
De acuerdo con lo explicado por los investigadores, los actores maliciosos llevan a cabo el robo del número de teléfono de los usuarios al comprometer la cuenta personal del usuario en la operadora con la que tienen contratada su línea telefónica.
Una vez dentro de la cuenta de la víctima en la compañía operadora, los atacantes generan códigos QR o códigos de activación de la dirección SM-DP+, utilizados para generar e instalar las eSIM en los dispositivos.
Posteriormente, transfieren el número de la tarjeta física del afectado a una tarjeta eSIM en su propio dispositivo, dejando además a la víctima sin acceso a su tarjeta SIM original y, por consiguiente, a su número de teléfono.
Acceso a contactos y redes sociales
De acuerdo con Dmitri Dudkov, un experto del Departamento de Protección contra Fraude de FACC, una vez que los actores maliciosos obtienen el número de teléfono de la víctima, pueden interceptar los códigos de acceso enviados a dicho número, así como los de autenticación de doble factor para varios servicios.
Este acceso brinda “numerosas oportunidades para que los delincuentes ejecuten sus planes criminales”, señaló Dudkov.
Por ejemplo, explicó que los ciberdelincuentes podrían aprovechar los códigos de confirmación enviados al número de teléfono para “vaciar la cuenta bancaria de la víctima y solicitar préstamos”.
Además, tienen la capacidad de utilizar aplicaciones de mensajería instantánea de manera no autorizada, acceder a los mensajes de la víctima y enviar mensajes a su lista de contactos.