Un investigador descubre cómo robar dinero a Microsoft, Facebook y Google

Escrito por Alberto García
Virus

La mayoría de grandes empresas tienen un sistema de autenticación seguro que permite añadir el teléfono móvil como segundo factor de autenticación, en el que recibimos un código enviado por un número gestionado por esas empresas. Es de este sistema del que se ha aprovechado un investigador, que afirma que se podía sacar bastante dinero con él.

Este investigador de seguridad belga, llamado Arne Swinnen, ha descubierto un método por el cuál ganar dinero con los mensajes SMS enviados con la autenticación en dos pasos. Las empresas que envían estos mensajes con códigos de identificación también ofrecen llamar al usuario en cuestión para identificarlo. Estas llamadas van asociadas al número de teléfono que haya en la cuenta.

google telefono autenticacion

Swinnen descubrió que estos números de teléfono asociados a la cuenta pueden ser números de suscripción premium, con lo que realizar una llamada a ellos le cuesta dinero al emisor de la llamada. Las empresas con las que probó que funcionaba este sistema son Microsoft, con su producto Office 365, Google, e Instagram.

El sistema puede ser utilizado por atacantes de manera automatizada creando un script que pida los códigos de autenticación en dos pasos a los servicios en cuestión, y hacer que estos llamen al teléfono premium, generando un pago con cada llamada.

Las cifras que se pueden llegar a hacer con este sistema varían según la compañía. Swinnen ha calculado que al año se le podrían sacar a Instagram 2 millones de euros, a Google 432.000 euros, y 669.000 euros a Microsoft.

hacker-dinero

Los detalles del exploit han sido publicados en su blog. Comunicó a las respectivas compañías el fallo, y éstas le dieron diversas recompensas.

Facebook tardó 4 meses en aceptar el fallo de seguridad y empezar a ponerle remedio, entre septiembre y diciembre de 2015. Finalmente, aceptaron el fallo de seguridad, poniendo solución a los límites tarifarios y otras medidas de seguridad. Le dieron a Swinnen 2.000 dólares.

Google tardó un tiempo en aceptarlo también, pero al no ser un fallo de seguridad como tal, en el que sólo Google perdía dinero, argumentando que a ellos les importa más la seguridad de los usuarios que el dinero. Por ello, no le dieron ninguna recompensa monetaria, aunque sí una mención en el Hall de la fama de la compañía.

Microsoft dio un argumento similar al de Google, y aunque no lo consideraban un problema de seguridad, decidieron darle 500 dólares como recompensa.

Quizá te interese…

Cómo usar ordenadores públicos con seguridad durante estas vacaciones

Google libera el parche de seguridad más grande de su historia para Android

Google se porta bien con los que le ayudan: 6 millones pagados en recompensas

Fuente > ADSLZone

Vía > Softpedia

Continúa leyendo
Comentarios
6 comentarios
  1. felipelotero 18 Jul, 16 7:17 pm

    Aquí otros “investigadores” descubrieron cómo robar dinero a los clientes de las cajas de ahorro públicas con las preferentes…

    1. Anónimo
      Usuario no registrado
      18 Jul, 16 8:20 pm

      Ingenioso comentario, me reiría si el tema no fuera lo suficientemente serio como para haber hecho llorar a mucha gente.

  2. Anónimo
    Usuario no registrado
    18 Jul, 16 8:41 pm

    Según los datos del artículo me sale un total de robo en potencia de 3,1 millones en 1 año.

    Ahora vamos a aproximar los robos de Vodafone:
    – 14 millones de clientes
    – “errores” de 3€ por factura
    504 MILLONES DE EUROS ANUALES

    Cualquier fraude que quieras inventar languidece al lado de lo que hace esta gente.

    1. Anónimo
      Usuario no registrado
      18 Jul, 16 9:57 pm

      14×3=42, no 504.

      1. Phi
        Usuario no registrado
        18 Jul, 16 10:37 pm

        14*3*12=504 M al año

        1. LOLO
          Usuario no registrado
          19 Jul, 16 9:34 am

          Robo sin concesiones, exacto. Vodafone, Telefonica, Orange…. este “investigador” comparado con estas grandes compañias. Un aspirante de aprendiz… tenemos mucho q aprender o seguir soportando de las grandes multinacionales o bancos.