Este emprendedor cambió su tarjeta SIM tantas veces que creó una empresa para combatirlo

La primera vez que le cambiaron la SIM en 2018, Haseeb Awan lo aceptó con la esperanza de que no volviera a ocurrir. Luego vino el segundo incidente. Luego el tercero. Luego el cuarto. Tras el último cambio, Awan dejó de confiar en la seguridad de su cuenta por parte de su proveedor de telefonía móvil y tomó las riendas del asunto: fundó su propia compañía de telefonía móvil.

Fue un cambio importante con respecto a su anterior trabajo como director de la red de cajeros automáticos Bitcoin de BitAccess, una empresa que cofundó y que, por cierto, lo convirtió en un objetivo PRIME para el intercambio de tarjetas SIM.

Su nueva aventura,Efani, se dedica a detener un problema que es demasiado frecuente para los usuarios de Criptomonedas , un problema que la mayoría de los operadores móviles, como lo evidencian los propios problemas de Awan, no han logrado abordar adecuadamente.

¿Qué es el intercambio de SIM?

El intercambio de SIM es un ataque de ingeniería social en el que un atacante transfiere el número de teléfono de la víctima a una tarjeta SIM que controla. Para secuestrar una cuenta móvil, un atacante puede hacerse pasar por la víctima para convencer a un agente de atención al cliente de que cambie el número a la nueva tarjeta SIM. En casos más complejos, el intercambio de SIM puede ocurrir como un trabajo interno o mediante sobornos a un REP de atención al cliente.

Estos ataques de ingeniería social se han convertido en un problema muy común en el mundo de Bitcoin y las Criptomonedas , especialmente para sus figuras más destacadas. Normalmente, los intercambiadores de tarjetas SIM atacan a los usuarios de Criptomonedas con la esperanza de acceder a sus cuentas de intercambio mediante mensajes de texto y autenticación de dos factores.

Quizás el ejemplo más famoso de este vector de ataque proviene de Michael Terpin, quien perdió unos 24 millones de dólares en un intercambio de SIM, lo que provocó unaDemanda de $220 contra AT&T. Un montón deotros usuarios de Criptomonedashan sido víctimas de tales ataques y, posteriormente, sus cuentas de intercambio fueron vaciadas de fondos. El hacker de Twitter de 2020 fue incluso...parte de un sindicato que orquestaba intercambios de SIM.

Sigue leyendo: Juez desestima demanda por daños y perjuicios de 200 millones de dólares en demanda por hackeo de Cripto contra AT&T

Efani: una empresa de ciberseguridad que brinda servicios de telecomunicaciones

Awan está en la larga lista de víctimas de intercambio de tarjetas SIM de Cripto , razón por la cual fundó Efani en 2019.

La empresa opera de BIT similar a un operador de red móvil virtual. Utiliza la infraestructura de red de Verizon, AT&T y T-Mobile para dar servicio a sus clientes. Sin embargo, solo depende de esta infraestructura para brindar cobertura celular. Todo lo demás del plan de $99 al mes, desde la gestión de datos hasta el servicio al cliente, se gestiona internamente según las prácticas de Efani.

Nos centramos en la ciberseguridad. Otras empresas son proveedores de telecomunicaciones que contratan a otras empresas para que les brinden seguridad. Nosotros somos una empresa de ciberseguridad que ofrece servicios de telecomunicaciones.

Según Awan, la mayoría de los proveedores de telefonía móvil solo requieren un número de teléfono y de cuenta para realizar cambios en un plan existente. También ofrecen a los usuarios la opción de establecer un PIN, pero incluso esta capa de protección puede ser burlada si el hacker es lo suficientemente astuto. Aún más difíciles de controlar son los sobornos y los trabajos internos.

11 capas de defensa

¿La solución de Efani a este problema? Dificultar tanto los cambios en una cuenta que un ataque sea prácticamente imposible.

“No puedes hacer cambios en tu cuenta llamando al servicio de atención al cliente”, dijo Awan a CoinDesk. “Incluso si llamas, no están autorizados a hacer cambios. Para algo como cambiar una tarjeta SIM, es posible que tengas que pasar por 11 niveles de autenticación”.

Estas 11 capas de autenticación representan el máximo número de métodos de verificación disponibles para los usuarios de Efani. Cada cuenta requiere un mínimo de siete pasos de autenticación para reemplazar su tarjeta SIM. Estas verificaciones implican proporcionar los últimos cuatro dígitos de la tarjeta de crédito registrada, el número de teléfono, el número de la tarjeta SIM y otra información.

Lo hemos hecho tan riguroso que elimina cualquier posibilidad de intercambio de SIM. La mayoría de la gente se da por vencida después del segundo o tercer paso de autenticación, dijo Awan.

Sigue leyendo: Ingeniería social: una plaga en las Cripto y Twitter que difícilmente se detendrá

Quizás la característica más importante, y el último paso para autorizar un cambio en una cuenta, consiste en certificar una carta de intención. Cada usuario debe acudir a un notario público para autorizar un cambio en su servicio, y este notario es verificado por el equipo legal de Efani.

Incluso después de este último paso, entra en vigor un periodo de prueba de siete días antes de que se pueda activar la nueva tarjeta SIM. Y no puede ser cualquier tarjeta SIM vieja comprada en una tienda de conveniencia local; Efani envía a cada titular de cuenta dos tarjetas SIM cifradas al registrarse en el servicio, y solo la tarjeta de respaldo está autorizada a guardar el número del usuario en caso de pérdida de la tarjeta anterior.

Viejos trucos, nuevos perros

Además de estas medidas, Efani verifica los antecedentes de todos sus empleados, exige la autorización de varios empleados para realizar cambios en las cuentas y almacena la información de los clientes en silos de servidores para KEEP la segregación de datos. Además, los nombres y números de teléfono de los clientes se mantienen separados.

Los planes de Efani también están asegurados hasta por 5 millones de dólares por Lloyd’s de Londres por cualquier robo o violación de datos que pueda ocurrir a través de los servicios de Efani.

Awan, quien impulsó la empresa con sus propios recursos, afirmó que es rentable y que va camino de alcanzar ingresos de siete cifras este año. Aproximadamente un tercio de sus clientes son usuarios de Criptomonedas , afirmó, y añadió que el resto suelen ser personas de alto perfil, incluyendo atletas profesionales de los LA Lakers y los San Francisco Giants, otras celebridades y un buen número de abogados.

Al preguntarle qué se puede hacer para solucionar el problema actual del intercambio de tarjetas SIM (sin crear un negocio competidor), Awan se mostró pesimista sobre la capacidad de cambio de los proveedores tradicionales. La mayoría de los empleados de atención al cliente, que para empezar son contratistas, «no son lo suficientemente sofisticados como para comprender el nivel de amenaza».

Además, cambiar algo que de todos modos afecta a tan pocos clientes probablemente no esté en su radar, especialmente teniendo en cuenta que requeriría una revisión completa de sus procesos.

"No creo que ningún operador resuelva este problema. Cambiar el sistema actual requeriría actualizar el sistema y los procesos de todas las cuentas móviles en Estados Unidos, y esto no es fácil", dijo Awan.

El segundo problema es que las compañías aéreas quieren creer que esto no es un problema. Afecta probablemente al 1% de la población. Sería como decir: «Bueno, todos los coches que se venden en EE. UU. vienen con cristales blindados».