Acorde a especialistas en ciberseguridad, cada año miles de usuarios de compañías de telecomunicaciones sufren ataques de hacking que tienen como objetivo tomar control de su número de teléfono para realizar fraudes de identidad, extorsiones, entre otros crímenes.
Un caso muy popular es el de Michael Terpin, un inversor en criptomoneda que, después de notar fallas en su servicio de telefonía móvil, llamó a la compañía sólo para descubrir que un hacker se había apoderado de su número telefónico personal usando una técnica conocida como “SIM swap”. La víctima afirma que, posteriormente, los actores de amenazas accedieron a su cuenta de Skype y engañaron a uno de sus clientes para que realizara una transferencia de criptomoneda.
El equipo de ciberseguridad de AT&T, la compañía de telecomunicaciones de Terpin, acordó con la víctima la implementación de un código de seguridad de seis dígitos que debía ser ingresado en caso de que cualquier usuario solicitara transferir el número de teléfono de Terpin a otra tarjeta SIM.
No obstante, esta medida de seguridad resultó inútil. Tiempo después del primer incidente, Terpin afirmó que, en complicidad con una tienda de AT&T, los hackers volvieron a cambiar su teléfono a otra tarjeta SIM; gracias a esto, los delincuentes lograron robar más de 20 millones de dólares en activos virtuales.
Michael Terpin decidió presentar una demanda por más de 25 millones de dólares contra AT&T. El demandante solicitó a la corte anular las cláusulas en las que la compañía renuncia a la responsabilidad por cualquier incidente de seguridad relacionado con sus servicios. Terpin considera que a los usuarios no les queda más opción que aprobar estos términos para seguir usando los servicios de telecomunicaciones.
Por su parte, la compañía solicitó al juzgado desestimar el caso, pues el demandante no fue capaz de establecer el nexo entre el hackeo de su número telefónico y el robo de la criptomoneda. En su demanda, Terpin no ofrece detalle alguno sobre las protecciones que implementó para sus activos virtuales y tampoco menciona si esta información fue de vital importancia para desplegar el ataque.
Aunque la mayoría de los cargos presentados por Terpin cuenta con un nuevo plazo de 21 días para volver a presentar su demanda; esta vez, el usuario deberá explicar completamente cómo fue robada su criptomoneda, así como las razones por las que cree que AT&T tiene un grado importante de responsabilidad en este incidente.
Acorde a expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS), esta clase de ataques enfocados en las tarjetas SIM de las víctimas son especialmente peligrosas para los miembros de la comunidad de la criptomoneda, pues la naturaleza de estos activos impide rastrear una transacción en caso de robo.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
