Los que trabajamos en el campo de la seguridad de la información estamos familiarizados con la eficacia de la ingeniería social y, aunque todavía hay quienes envían dinero a desconocidos a través de una simple llamada telefónica o un correo electrónico, en general la gente está mejorando a la hora de no dar su propia información personal. Pero los atacantes se adaptan con rapidez y se han centrado en un objetivo diferente: su compañía telefónica.
Que los piratas informáticos ataquen a los operadores, o a las empresas en general, no es nada nuevo, pero muy recientemente han decidido recurrir a la clásica ingeniería social. ¿Y a quién se dirigen? Los YouTubers. Puede parecer un objetivo inútil, pero los YouTubers más populares ganan cientos de miles, si no millones, de dólares a través de ingresos por publicidad, asociaciones y patrocinios.
El 8 de julio, el popular YouTuber Ethan Klein, de H3H3Productions, grabó un vídeo en el que explicaba cómo unos atacantes habían conseguido su tarjeta sim de T-Mobile(https://www.youtube.com/watch?v=caVEiitI2vg ). El atacante llamó al servicio de atención al cliente de T-Mobile haciéndose pasar por un empleado de una sucursal, diciendo que Ethan estaba en la tienda y necesitaba activar una nueva tarjeta SIM. El técnico al teléfono desactivaría la tarjeta SIM antigua y activaría la nueva. El atacante tendría ahora todo lo que estaba guardado en la antigua tarjeta sim: contactos, contraseñas, historial del navegador y, en este caso, su cuenta de YouTube. Da la casualidad de que Ethan fue avisado por otros YouTubers y pudo resolver la situación rápidamente, pero el atacante siguió teniendo toda la información de su teléfono durante un tiempo. Su cuenta estaba incluso protegida con un pin y el atacante pudo conseguir la tarjeta SIM.
Aunque T-Mobile ha estado bastante callada al respecto, reconoció el fallo en su flujo de trabajo en twitter, https://twitter.com/JohnLegere/status/751490098240167937, e hizo un cambio en la política de la empresa casi de inmediato:
Los viejos trucos siguen funcionando; tanto si los atacantes le envían un correo electrónico haciéndose pasar por su banco, como si llaman a su compañía telefónica haciéndose pasar por un empleado, la ingeniería social no va a desaparecer. La gente sigue estando demasiado dispuesta a dar información sin apenas verificar su identidad, y su información personal es cada vez menos personal y menos suya.