Especialistas en ciberseguridad reportan el hallazgo de un método funcional para adivinar las claves PIN de Verizon en línea, empleando ataques de fuerza bruta sin que los sistemas afectados puedan identificar la actividad maliciosa. La compañía ya está al tanto de la falla, por lo que decidieron cerrar los sitios web vulnerables.
Al parecer, el problema está relacionado con el hecho de que estas plataformas fueron diseñadas de forma que los usuarios pudieran realizar solicitudes simultáneas, permitiendo a los investigadores adivinar el PIN de un usuario en cuestión de un solo intento. A pesar de que la mayoría de los sitios web modernos bloquean los intentos incorrectos de inicio de sesión, Verizon no pudo implementar este mecanismo de forma adecuada.
Joseph Harris, especialista a cargo de esta investigación, describió lo que llama un “bug bastante potente” en las plataformas de Verizon permite exponer cualquier número de cuenta de los clientes, además de recuperar el PIN de un usuario afectado.
El término técnico para definir estos problemas es condición de carrera, un problema recurrente en esta clase de plataformas. En el pasado compañías como Microsoft han enfrentado problemas similares, con miembros de la comunidad de la ciberseguridad detectando estas fallas para extraer información confidencial usando ataques de fuerza bruta.
En este caso, Harris pudo haber desplegado un ataque de intercambio de SIM (también conocido como SIM swap) después de obtener el PIN de un usuario objetivo. Como recordará, el intercambio de SIM es una técnica de hacking empleada para interceptar los mensajes SMS de una víctima con el fin de obtener credenciales de autenticación, tokens de un solo uso y otros datos confidenciales.
El investigador publicó un video para demostrar la prueba de concepto (PoC) de su ataque en YouTube. Después de subir la evidencia, Harris afirma haber sido contactado por algunos grupos de hacking especializados en intercambio de SIM, quienes se mostraron interesados en saber más sobre el ataque.
A pesar de la tentación, el reporte fue presentado en tiempo y forma a Verizon, quienes reconocieron el error y lo abordaron de inmediato: “La vulnerabilidad ya ha sido mitigada. Realmente apreciamos que se el problema haya sido traído a nuestra atención”, declaró Vincent Devine, gerente de gestión de riesgos de Verizon.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
