- By Enrique Relucio
- 27/11/2023
- No hay comentarios
¿Alguna vez te has preguntado cuánto de tu información personal está al alcance de un par de clics? En la entrada de hoy veremos el “fascinante” mundo del restablecimiento de contraseñas, y los resultados son cuanto menos preocupantes.
Imagina este escenario: decides cambiar o se te ha olvidado tu contraseña en uno de tus sitios web favoritos. Escribes tu correo electrónico para recuperarla y se abre un abanico de opciones. Puedes recibir un correo electrónico con un enlace, un SMS con un código secreto, o incluso una llamada telefónica.
Aquí viene la parte interesante, cuando optas por la opción de SMS o llamada, el sitio web a menudo revela una porción de tu número de teléfono. Aunque no es el número completo, solo unos pocos dígitos, suficientes para reconocerlo si tienes varios teléfonos. En resumen, si conozco tu correo electrónico, puedo iniciar el proceso de restablecimiento de contraseña y obtener algunos dígitos de tu número de teléfono.
Recopilando el número de teléfono asociado al correo
Sin embargo, no todos los sitios web muestran los mismos dígitos. Algunos revelan los últimos cuatro, otros el primero, y algunos optan por combinaciones diferentes. La forma en que se ocultan los dígitos depende totalmente del desarrollador del sitio. Un problema de seguridad en potencia, ¿verdad?
Imagina que tienes cuentas en eBay, que te muestra los tres primeros y los dos últimos dígitos, y LastPass, que te muestra los cuatro últimos. Un atacante podría potencialmente descifrar siete de los nueve dígitos de tu número de teléfono solo con tu dirección de correo electrónico. Desde doscientos millones de opciones (8 dígitos teniendo en cuenta que el primero será 6 o 7 para un móvil), tu dirección de correo electrónico podría reducir las posibilidades a solo cien. Un dato inquietante, ¿no crees?
Riesgos en la exposición del número de teléfono
Pero, ¿por qué deberías preocuparte? Este proceso de revelar números de teléfono podría abrir la puerta a diversas amenazas:
- Intercambio de SIM (SIM Swapping): restablecimiento de contraseñas y bypass de 2FA. Aunque para ello el atacante deberá contar con más datos personales como el DNI.
- Ataques SS7: explotar el protocolo del operador para rastrear ubicaciones, espiar llamadas, interceptar textos e iniciar fraudes.
- Vulnerabilidad de correo de voz: robo de datos, robo de identidad.
- Suplantación de identidad en el identificador de llamada: manipulación de identificadores de llamadas para ingeniería social llevando a fraude o suplantación.
- Ataques de phishing: uso del número de teléfono para campañas de phishing dirigidas.
- Robo de identidad: suplantarte para fraude financiero o daño a la reputación.
- Acoso: mensajes no deseados, llamadas repetidas y a horas no deseadas.
- Toma de control de cuentas: acceso no autorizado a tus cuentas en línea.
- Llamadas automáticas: llamadas y mensajes de spam automáticos que llevan a estafas.
- Ingeniería social: manipulación a través de tu número de teléfono, llevando a pérdida financiera o violaciones de datos de conocidos.
Automatización del proceso
Con la posesión de una dirección de correo electrónico, el proceso implica combinar la recolección de datos, la generación de números y la prueba en sitios específicos. Pero sí, hay formas de automatizar este proceso, aunque eso es un viaje para otro día.