El número de teléfono se ha convertido en uno de los datos personales más importantes, tanto en España como en casi cualquier lugar del mundo. Y no porque permita tener contacto directo con una persona; sino porque por seguridad suele estar vinculado a la gran mayoría de servicios y aplicaciones que usamos en el día a día de internet. Esto lo convierte en un caramelo para los hackers, que pueden utilizarlos para obtener información personal y robar cuentas.

Un nuevo estudio llevado a cabo por la Universidad de Princeton ha revelado que la gran mayoría de los números de teléfono antiguos aún están vinculados a importantes cuentas de sus anteriores dueños. Esto supone un grave problema de seguridad, ya que ofrece a los ciberdelincuentes una puerta abierta para realizar diferentes ataques con el objetivo de robar datos personales.

Los responsables del estudio lograron hacerse con 259 números de teléfono disponibles de dos importantes proveedores de Estados Unidos y descubrieron que 171 de ellos todavía estaban vinculados a cuentas existentes en populares sitios web. Un suceso que permite a los hackers utilizarlos para piratear las cuentas asociadas a esos números.

Los hackers pueden usar los números para obtener datos personales. Kacper Pempel Thomson Reuters

Cambiar de número de teléfono implica abandonar la línea que se está utilizando, que por lo general está vinculada a una dirección de correo electrónico y a diferentes servicios, como aplicaciones de pago o redes sociales. Por ese motivo, cuando el usuario se muda a otro operador y número de teléfono es importante modificarlo también en todas las cuentas en las que el anterior número estaba registrado.

Diferentes estudios anteriores ya descubrieron que cambiar de número permite situaciones de acoso, abusos de la privacidad y spam, como llamadas molestas. En esta ocasión, los investigadores de Princeton han ido más allá y han detectado que los atacantes pueden utilizar los números antiguos para buscar cuentas vinculadas a ellos y el historial del propietario.

Ocho ataques diferentes

Este nuevo estudio ha encontrado hasta ocho ataques diferentes que los hackers pueden usar para explotar el reciclaje de números de teléfono. Entre ellos se encuentra la indexación de información de identificación personal, es decir, el uso de servicios de búsqueda de personas y números de teléfono para recopilar información privada adicional.

Desde phishing hasta robar cuentas.

Los hackers también pueden realizar ataques de phishing, robos de cuentas con o sin restablecimiento de contraseña autorizado y suplantación de identidad. Por otro lado, también pueden hacer un seguimiento de un número para conocer cuándo está disponible y comprarlo con el objetivo de secuestrar cuentas o hacerse pasar por una persona posteriormente.

Otro ataque consiste en registrar un número de teléfono disponible del que no son propietarios para hacerse pasar por el operador y, mediante un SMS falso, obtener el número para sí mismo después. Una mecánica que se utiliza para leer nuevos mensajes destinados a la víctima y para robar cuentas.

Por último, los hackers también pueden obtener un número, registrarlo en un servicio en línea que requiera de un número de teléfono y liberarlo después. De esta forma, cuando la víctima obtiene el número e intenta registrarse en esos servicios, se le denegará debido a que ya hay una cuenta existente. Un momento que los ciberdelincuentes utilizan para contactar con la víctima vía SMS y exigir un pago para liberar el número de la plataforma

Datos en Internet

Arvind Narayan y Kevin Lee, los investigadores del estudio, también encontraron que 100 de los 259 números de teléfono examinados estaban aún asociados con credenciales de inicio de sesión filtrados que circulan en Internet. Un hecho que permite a los hackers realizar ataques de secuestros de cuentas que eluden la autenticación multifactor basada en SMS. 

Un hacker.

De la misma manera, los investigadores también han señalado que varios de los números de teléfono reciclados seguían recibiendo "llamadas y mensajes sensibles a la seguridad y privacidad". Dado al complejo resultado del estudio, Narayan y Lee se pusieron en contacto con los operadores de móviles Verizon y T-Mobile para que tomaran cartas en el asunto.

A pesar de que los dos operadores ya están al corriente de lo sucedido, los investigadores señalan que, en realidad, son los propios usuarios quienes deben tomar las medidas correspondientes para evitar ser atacados a través de sus antiguos números de teléfono: como cambiar el número al actual en sus cuentas de Internet o dar de baja esos servicios.

Te puede interesar...

Noticias relacionadas