AT& T responde a la demanda de un ejecutivo de Cripto por intercambio de SIM: Nos vemos en la corte

AT&T dijo que luchará contra una demanda que la acusa de negligencia por la pérdida de 1,7 millones de dólares que sufrió un cliente al cambiar una tarjeta SIM.

El caso fue presentado por Seth Shapiro

, el jefe de estrategia de VideoCoin, quien culpa al gigante de la telefonía por permitir que los empleados transfirieran el control de su número de teléfono a delincuentes durante un ataque informático en mayo de 2018.

En declaraciones a CoinDesk, el portavoz de AT&T, Jim Greer, dijo:

Es lamentable que el Sr. Shapiro haya sufrido esto, pero rebatimos sus acusaciones. Esperamos presentar nuestro caso ante el tribunal.

Después de una serie deintercambios descarados de SIMShapiro afirmó haber perdido 1,7 millones de dólares en Criptomonedas. Los hackers supuestamente tomaron el control de su teléfono celular, reiniciaron su correo electrónico y violaron sus cuentas de intercambio para robarle 1 millón de dólares, y el saldo pertenecía a otras personas para futuras inversiones.

Greer dijo que AT&T estaba advirtiendo a todos sus clientes que reforzaran sus medidas de seguridad y que la autenticación del teléfono móvil no es suficiente:

“Los recientes casos de alto perfil refuerzan la importancia de que las empresas y los consumidores tomen medidas para protegerse contra el fraude por intercambio de tarjetas SIM, como no utilizar números de teléfono móvil como única fuente de seguridad y autenticación”.

Pero el abogado de Shapiro, Andrew Calderón, sostuvo que el problema subyacente no fue la negligencia del cliente sino la "negligencia sistémica" de AT&T.

"El hecho de que AT&T no protegiera los datos del Sr. Shapiro no es una aberración", declaró Calderón a CoinDesk. "Como se explica en la denuncia, AT&T tiene un historial extenso y preocupante de no tomar medidas adecuadas para proteger los datos de sus clientes del acceso no autorizado".

Para acceder a la tarjeta SIM de Shapiro, los piratas informáticos supuestamente pagaron a empleados de AT&T (ahora despedidos y procesados penalmente) para obtener el control.

Según Shapiro, el primer hackeo telefónico ocurrió durante la conferencia de consenso de mayo de 2018. En la misma fecha, VideoCoin de Shapiro...anunció el cierre de una oferta privada de monedas de 50 millones de dólares, por el cual suscribió su Fondo Alphabit relacionado. Doscolegas suyos en varias empresas– los empresarios Chris Kitze y Enzo Villani – también fueron hackeados sus tarjetas SIM al mismo tiempo, pero no perdieron fondos.

En abril de 2019, Joel Ortiz, el supuesto cerebro del hackeo de Shapiro, de 21 años, fue...condenado a 10 añosEn una prisión federal, tras declararse inocente de los cargos de orquestar 13 intercambios de tarjetas SIM. Un cómplice, un menor de 19 años, fue acusado en siete casos. Ortiz fue acusado de haberse llevado 5,2 millones de dólares, pero solo recuperó 400.000.

El año pasado se presentó otro caso de piratería de SIM de alto perfil contra AT&T,

cuando Michael Terpin, un ejecutivo de Cripto de una empresa de relaciones públicas, una compañía de inversiones y una serie de conferencias, y socio de Shapiro en varias de esas empresas, dijo que perdió 23,8 millones de dólares cuando su teléfono fue hackeado.

Terpin demandó a la compañía telefónica para reclamar sus pérdidas, además de 200 millones de dólares en daños punitivos y que la violación fueuna violación de la Ley Federal de ComunicacionesLos autores del ataque eran presuntamente un ladrón de 21 años de la ciudad de Nueva York llamado Nicholas Truglia, junto con su cómplice de piratería informática de 16 años.

Según una declaración jurada

Presentado por un amigo de Truglia atrapado periféricamente en su redada, el modus operandi del ladrón era agregarse fraudulentamente como administrador a la cuenta de teléfono de un objetivo, luego proceder a una tienda local de AT&T donde utilizó su propia ID para verificar su identidad y dar instrucciones a un empleado de AT&T para que hiciera los cambios para proporcionarle acceso a la tarjeta SIM.

La medida de seguridad menos segura

La pérdida resalta una pregunta obvia para los expertos en seguridad, quienes se preguntaban por qué un ejecutivo de Cripto experimentado KEEP sumas tan altas en un intercambio en línea en lugar de en un "almacenamiento en frío", es decir, un almacenamiento fuera de línea, donde estaría completamente protegido de ataques remotos.

Depender de un teléfono celular para proteger cualquier parte del aparato de seguridad en línea es una enorme vulnerabilidad potencial, dijo a CoinDesk Haseeb Awan, director ejecutivo del proveedor de seguridad de tarjetas SIM DontPort con sede en California.

“Se debe evitar la verificación por SMS siempre que sea posible”, dijo Awan. “La autenticación de dos factores es probablemente la peor forma de autenticación”, debido a la facilidad con la que los hackers la vulneran.

Incluso sin los topos de AT&T alegados por Shapiro, Awan, quien fue blanco de múltiples intercambios de SIM, dijo que los piratas informáticos usan ingeniería social, engañan y compran para acceder a las cuentas móviles de las víctimas todos los días, lo que hace que el valor de la verificación del teléfono celular sea casi insignificante.

Mucha gente piensa que nunca será hackeada simplemente porque nunca lo ha sido antes, dijo Awan:

"Es como decir que nunca morirás porque aún no lo has hecho".

Esa arrogancia los hace aún más vulnerables.

El intercambio de tarjetas SIM es una amenaza relativamente conocida entre los poseedores de Cripto de alto perfil, que a menudo son el blanco de ataques debido a su publicidad y la mayor probabilidad de que puedan poseer activos valiosos.

Shapiro, el actual jefe de estrategia de VideoCoin y fundador de varios proyectos de medios Cripto , incluso dijo a los investigadores que inmediatamente sospechó de un intercambio de SIM cuando su teléfono dejó de funcionar repentinamente.

Awan dijo que le sorprendió que Shapiro pudiera haber perdido tanto dinero tan fácilmente:

No es ningún novato. Lleva tiempo en el Cripto .

Greer de AT&T dijo que el almacenamiento fuera de línea es la única solución real:

“Para las Criptomonedas, los expertos en seguridad recomiendan medidas de seguridad adicionales, como mantener las Criptomonedas en un 'almacenamiento en frío', un entorno fuera de línea al que no se puede acceder a través de Internet, y seguir las instrucciones sobre el almacenamiento de las credenciales de acceso a la billetera y al intercambio”.

Sin embargo, el abogado de Shapiro, Calderón, dijo que no son sólo los usuarios de Cripto los que se ven perjudicados por estos ataques.

"Otras víctimas han perdido dólares estadounidenses e información personal valiosa", afirmó. "Los ataques de intercambio de SIM han afectado a personas de todos los niveles económicos. Todos los datos accesibles a través de un dispositivo móvil son vulnerables cuando AT&T transfiere el acceso a la cuenta a piratas informáticos".

De los documentos legales se desconocía qué productos de seguridad tenían los ejecutivos (si tenían alguno) en sus teléfonos pirateados.

ACTUALIZACIÓN (30 de octubre, 22:00 UTC):Este artículo ha sido actualizado para incluir declaraciones recibidas después de la publicación del abogado de Shapiro.

Tarjeta SIMimagen vía Shutterstock