A la hora de acceder a una web o aplicación, muchas de ellas requieren crearse una cuenta. Este proceso es normalmente bastante tedioso, teniendo que dar email e incluso datos personales a una web de la que no nos fiamos mucho. Para las webs, muchas veces se pierden usuarios por culpa del proceso de creación de cuentas. Por ello, han creado un nuevo sistema de verificación basado en tarjetas SIM.
La verificación con emails y contraseñas lleva décadas siendo la principal vía de acceso a servicios online. Sin embargo, su seguridad lleva más de una década en entredicho, ya que es necesario utilizar sistemas de verificación en dos pasos como las aplicaciones de autenticación o los SMS para recibir códigos.
Nueva verificación por SIM: adiós al SIM swapping
El problema es que es posible incluso hackear este sistema mediante técnicas como el SIM swapping, el cual es realmente fácil de llevar a cabo y puede hacernos perder todas nuestras cuentas. Por ello, es vital utilizar apps como Google Authenticator, con códigos únicos que se renuevan rápidamente y que nadie puede interceptar a través de este tipo de técnicas. También es recomendable usar identificación biométrica, como la huella, así como llaves USB.
Sin embargo, la empresa tru.ID se ha dado cuenta de que la solución ya está en nuestras manos: utilizar la tarjeta SIM de nuestro móvil. Los SMS no son 100% seguros, pero los números de teléfono asociados a una tarjeta SIM concreta sí. Gracias a ello, es posible prevenir fraude y cuentas falsas a la vez que se puede verificar a los usuarios mediante el identificador único que ya tienen: la SIM de sus móviles.
Comprobaciones de posibles ataques de swapping
Los atacantes suelen acceder a las cuentas de los usuarios que han suplantado unas 24 horas después de hackearlas, y la nueva técnica de protección llevada a cabo por SubscriberCheck de tru.ID analiza la actividad de cambio de SIM en los últimos 7 días, y la marca si ha habido un cambio de SIM. Ese periodo de tiempo suele ser más que suficiente para que el usuario se dé cuenta de que su tarjeta SIM ha dejado de funcionar correctamente y de que pasa algo, ya que en muchos ataques de este tipo el usuario se queda sin cobertura y no se da cuenta de lo que ocurre hasta varias horas e incluso días después.
El sistema de SubscriberCheck comprueba el mismo número que comprueba nuestro operador para ofrecernos servicio. Primero, verifica que el teléfono está activo y emparejado con nuestra SIM. También verifica si la SIM se ha cambiado recientemente.
La API basada en este sistema ya puede integrarse en apps y servicios, estando toda la información disponible en la web oficial.