Los jugadores profesionales de poker son ahora mismo uno de los objetivos principales de los ladrones de identidad, hackers que están aprovechando las vertiginosas alzas en los precios de Bitcoin para intentar dar el golpe perfecto.
El robo consiste en hacerse con un acceso al teléfono móvil del objetivo y utilizar los mecanísmos de recuperación de contraseñas mediante SMS que usan diversos proveedores de correo electrónico y otras aplicaciones para hacerse con los datos de acceso de la víctima a sus cuentas de correo, redes sociales y, con suerte, cuentas bancarias y/o los depósitos de Bitcoins. La criptomoneda puede ser transferida sin que quede rastro de la operación, por sus especiales características, y, voilá, el atraco nunca será resuelto.
La clave del plan es conseguir convertirse en el receptor de los SMS dirigidos a la persona a la que quieren desplumar, y eso lo consiguen limpiamente debido a la falta de seguridad de los proveedores de telefonía, que permiten cambiar el pin de un móvil o tranferir el número mediante una simple llamada a soporte.
Una vez se hacen con esta ventana a tu vida personal, todo depende del nivel de seguridad que tienes para tus quehaceres diarios en Internet. Si consiguen robarte todo, miel sobre hojuelas. Si no, intentarán sacar provecho de cualquier resquicio de información par sacar dinero. Por ejemplo, hacerse pasar por ti para pedir dinero a tus contactos. Dan Smith les tuvo que pedir a sus conocidos que no le hicieran transferencias. Su cuenta había sido hackeada.
Some accounts got hacked last night, don’t western union money please.
Idiot hackers should have tried this before scoop/Monaco 🙂
— Dan Smith (@DanSmithHolla) 23 de mayo de 2017
Este método de hackeo no requiere ningún conocimiento especializado de informática. No hay profesionalidad ni límites entre los perpetradores, que pueden incluso preferir divertirse a tu costa o amargarte la vida en vez de buscar réditos económicos. A Vanessa Rousso la suplantaron en Twitter y lanzaron mensajes pidiendo ayuda, requiriendo una llamada a la policía porque unos secuestradores les tenían retenidas a ella y a algunos familiares en su propio domicilio. Esta peligrosa broma, conocida en el argot como «swattng», provoca que la policía envíe un equipo especial armado a tu casa. Poca broma, que todo el mundo sabe lo ligerito que tienen el gatillo por aquellos lares.
Por suerte, en el caso de Vanessa, todo se resolvió sin mayores consecuencias.
Hey guys so sorry, I was hacked :/ Everything’s resolved now and everyone is ok
— Vanessa Rousso (@VanessaRousso) 23 de mayo de 2017
¿Y es tan fácil conseguir el acceso a un móvil cualquiera? Pues al parecer, sí -al menos, en Estados Unidos-. Vanessa Selbst sufrió dos hackeos en menos de 24 horas. Cuando comprobó que le habían cambiado la contraseña de varias cuentas, se puso en contacto con el servicio de atención al cliente de su proveedor de telefonía. Dio instrucciones precisas para que no se permitiera realizar ningún cambio en el estado de su cuenta, y aún así le volvieron a hackear. Cada vez que llamó a soporte le ofrecieron cambiar el PIN de su teléfono sin comprobar su identidad, algo que sacó de quicio a la jugadora.
.@VZWNow @VZWSupport every time I called back to wonder how this happened,I was offered to change the pin back. YOU PROMISED I CAN’T DO THIS
— Vanessa Selbst (@VanessaSelbst) 24 de mayo de 2017
Para más inri, la persona que consiguió hacerse pasar por ella las dos veces era un hombre.
La mejor defensa contra estas prácticas es evitar usar el teléfono móvil como prueba de identidad. Si hay posibilidad de evitar relacionar el móvil con las cuentas en Internet, mejor que mejor. También conviene utilizar doble autenticación (pero no recibir el código extra de seguridad en el móvil, claro). Herramientas como Goolge Authenticator, que permiten generar códigos de un solo uso con antelación y copiarlos o imprimirlos es la mejor opción. También, como medida para evitar la propagación de una brecha de seguridad, procurar no repetir contraseñas. Hay herramientas que generan contraseñas y las almacenan por ti.
Doug Polk se ha hecho eco de estos casos públicos, y afirma conocer varios más que prefieren permanecer an el anonimato. Ha hecho un vídeo explicando los métodos que usan los ladrones de identidad y exponiendo los sistemas de seguridad que utiliza para evitar vivir este tipo de situaciones en carne propia.