En estos días recibí un correo de parte de Google, sí, Google, donde fueron víctimas de un phishing por teléfono donde se les ocurrió darle el código de 2 factores para Salesforce y pues terminaron por robarles la información que estaba ahí (o al menos, según su post), una parte…
Esto me atrajo la atención ya que yo trabajé en la industria de las llamadas y SMS a través de dos empresas (una que se compró por otra muy grande pero no diré nombres) y quisiera contar algo mi experiencia de esto y ayudarles a ustedes a protegerse…
Lo primero que les voy a contar es que en mi trabajo donde empecé en este mundo, no teníamos un grado de seguridad muy bueno, en el API al desarrollador que lo hizo se le ocurrió que habría un índice «oculto» y que solo se le compartiría a los que tuvieran acceso a los «short codes» (códigos cortos) o «alfanuméricos» (es decir, a los códigos de 5 dígitos para SMS o a las palabras como «Santander» o «Banco Azteca»), pero si por alguna razón «te lo topabas» o algo por el estilo, podías enviar SMS desde una cuenta que dieras de alta a través de la plataforma y mandar mensajes como si tú fueras Santander, o algún banco de los cuales teníamos los alfanuméricos, o usar los short codes, era horrible y aunque no me quiero lavar las manos, yo intenté empujar que hubiera más seguridad pero dicho desarrollador se negó.
Ahora, ¿esto cómo te afectaba a ti? pues como dije, te podrían llegar mensajes desde el número de short code que poseyéramos ya que no se vinculaba nunca a un usuario solamente «Fulana empresa era el dueño» por así decirlo (o a quien se le daba permiso de usarlo), era pésimo… adicionalmente, muchos de nuestros SMS incluían códigos de 2 factores y si por alguna razón intervenían alguna de nuestras bases de datos o hacían algo ya que nuestra seguridad hasta eso era bastante mala (yo intenté mejorarla pero siempre tuve problemas ya que para su momento no tenía mucha experiencia, nuevamente no lavándome las manos pero aceptando la realidad) podían intervenir 2 factores importantes, WhatsApp, Facebook, Uber, PayPal y muchos más que pasaban por nosotros.
Ahora bien, eso no acaba aquí, teníamos un sub-proveedor para llamadas cuya seguridad, también al igual que nosotros era bastante mala, así que para llamadas, también ellos pudieron terminar muy afectados. Ya ni contar los protocolos de SMS y demás cosas que son super pobres a nivel general… pero eso, es otra historia.
Así que al menos por ahora sí te diría, ¡quita todo de SMS y no hagas clicks en nada que te llegue por SMS!, de aquí nos movemos a las llamadas, muchas veces «no me llega el SMS, deja le pico a que me marque», y entonces las llamadas empiezan a entrar en juego, es aquí donde viene un dilema, vamos a pensar que un hacker intenta robarte la cuenta de WhatsApp, entonces entra, le pide el código de dos factores, y entonces te genera una llamada falsa a ti, «Estimado usuario, su número XXX, está intentando acceder a su cuenta, para denegar el acceso por favor, introduzca el código que acabamos de enviarle a su celular» y muchos ni si quiera leen, simplemente van a los SMS y agarran el número y lo ponen aunque ahí diga que no lo compartas o lo que sea.
Y boom, ahora el otro tiene tu código y ya te hackeo (caso parecido a lo que le pasó a Google), se ha conocido de muchas maneras como los de las paqueterías marcándote para pedir el código de WhatsApp para entregarte un paquete, o muchos otros tipos de estafas… pero con esto cada vez se está poniendo peor, a mi personalmente, una vez me marcaron desde «American Express» (o sea no el real pero uno falso) y tenían datos míos, no sé cómo los consiguieron y lo peor enmascararon su número y sí parecía de American Express, pero como sé que no manejan URLs especiales, pude cacharlos y no caí, pero cuántas personas sí caerían en eso…
Y empresas grandes no tienen procesos realmente buenos que puedan validar que no harás este tipo de cosas, solo ocupas una cuenta y un par de documentos que hasta puedes falsear y tan tan, acceso completo a poder hacer este tipo de estafas y como los números muchas veces no están registrados en bases de datos de internet como estafa o la gente no sabe que los puede Googlear es más fácil para ellos aparentar…
Así que mis 3 recomendaciones:
- Cuídate siempre de todo, duda de todo, si tu no pediste algo, no lo uses, no otorgues nada, no des información, mantén todo tan privado como puedas, el internet es un lugar oscuro y muchos solo conocen «la punta del iceberg».
- Dale prioridad a los correos para 2 factores o aplicaciones, no SMS, no llamadas, no WhatsApps, nada, solo correos o aplicaciones y el motivo de correos es porque al menos Google, Microsoft y otras empresas tienen muy buenos filtros que evitarán que te llegue algo, pero si no, SIEMPRE pon atención al dominio del correo, y revisa las ligas, si la liga no empata y nuevamente, tú no pediste un código de dos factores ignóralos y repórtalos como spam. Más vale prevenir.
- Siempre mantén una revisión recurrente de tus cosas, de vez en cuando cambia tus contraseñas más importantes (puedes usar gestores de contraseñas y de esta manera no tener que estar batallando, así escoges una contraseña por sitio), checa tus accesos en las aplicaciones, trata de activar los 2 factores cuando sea posible como digo por aplicación y así sabrás que a menos que tú lo hayas solicitado es imposible que alguien ocupe tu código, y cuídate porque no solo a ti te pueden afectar, si no a otros a través de ti, la vulnerabilidad más grande, somos nosotros.
Por último, si eres un desarrollador, recuerda darle prioridad a aplicaciones y siempre comparte los números desde los que vas a enviar las autenticaciones si usarás SMS, pero siempre dale prioridad a la aplicación (como Authenticator de Google o Microsoft), después dale prioridad al correo y siempre comparte desde qué correo llegarán dichos códigos y demás, la transparencia es el mejor aliado que podemos darle a nuestros usuarios.
