Intercambio de tarjetas SIM: Cómo los hackers robaron millones de Cripto a través del operador de telecomunicaciones de la víctima

El 15 de agosto, el inversionista estadounidense Michael Terpin presentó una demanda de $224 millones contra AT&T. Él cree que el gigante de las telecomunicaciones proveyó a los hackers el acceso a su número de teléfono, que condujo a un atraco importante de las criptos.

Michael Terpin es un empresario con sede en Puerto Rico y CEO de TransformGroup. También es cofundador de un grupo de inversores providenciales de Bitcoin (BTC) llamado BitAngels y de un fondo de divisas digitales, el BitAngels DApps Fund.

Terpin afirma que perdió $24 millones en criptomonedas como resultado de dos hackeos que ocurrieron en el transcurso de siete meses: La queja de 69 páginas que presentó ante el bufete de abogados de California, Greenberg Glusker, menciona dos episodios separados, fechados el 11 de junio de 2017 y el 7 de enero de 2018. En ambos casos, según el documento, AT&T, de la que Terpin era suscriptor desde hacía mucho tiempo desde la década de 1990, no protegió su identidad digital.

Ahora, Terpin está buscando $200 millones en daños punitivos y $24 millones en compensación de la corporación de telecomunicaciones.

Estafa de intercambio de SIM: ¿Qué tiene que ver un proveedor de telecomunicaciones con el ahorro en criptomonedas?

"Lo que AT&T hizo fue como si un hotel le diera a un ladrón con una identificación falsa la llave de una habitación y la llave de una habitación segura para robarle joyas a su legítimo dueño", afirma la demanda, argumentando que Terpin fue víctima de un fraude de intercambio de tarjetas SIM, también conocido como secuestro de SIM o una "estafa port out".

El cambio de SIM es un proceso que consiste en dirigir a un proveedor de telecomunicaciones como, por ejemplo, T-Mobile que transfiere el número de teléfono del objetivo a una tarjeta SIM en poder del atacante. Una vez que reciben el número de teléfono, los hackers pueden usarlo para restablecer las contraseñas de las víctimas y entrar en sus cuentas, incluidas las cuentas en criptointercambios.

Ocasionalmente, eso permite a los ladrones pasar por alto incluso la autenticación de dos factores, como escribe  Motherboard. Según su investigación, el intercambio de SIM "es relativamente fácil de realizar y se ha generalizado", añadiendo que "las cuentas en criptomonedas son objetivos comunes".

Las tácticas empleadas por los criminales para realizar tales ataques pueden variar. A veces, engañan a los representantes de los clientes para que crean que ellos son los objetivos y les hacen entregar sus datos. Sin embargo, según Motherboard, los estafadores a menudo utilizan los llamados "plugs": personas de dentro de las compañías de telecomunicaciones a las que se les paga por hacer intercambios ilegales. Un secuestrador anónimo de SIM le dijo a la publicación:

"Todo el mundo los usa[...] Cuando le dices a alguien[que trabaja en una empresa de telecomunicaciones] que puede ganar dinero, lo hace".
Una fuente anónima de Verizon le dijo a Motherboard que se habían puesto en contacto con él a través de Reddit, donde se le ofrecieron sobornos a cambio de intercambios de SIM. Otro empleado de Verizon afirmó que el hacker prometió que ganaría "$100.000 en pocos meses" si cooperaba; todo lo que tenía que hacer era "o activar las tarjetas SIM para [el hacker] cuando [estaba] en el trabajo o dar [al atacante] su Identificación de empleado y PIN".

Más relacionado con el caso Terpin, el diálogo de Motherboard con un empleado de AT&T sugirió que el diseño de su sistema, según se informa, permite a algunos empleados reemplazar las características de seguridad, como el código de acceso telefónico que AT&T requiere al transferir números:

"Desde allí, el código de acceso puede cambiarse[...] Con un nuevo código de acceso, el número puede ser transferido sin colgar."

¿Cómo fue hackeado Terpin?

Como se mencionó anteriormente, Terpin fue hackeado dos veces: en junio de 2017 y en enero de 2018.

Primero, en el verano de 2017, se enteró de que su número de AT&T había sido pirateado cuando su teléfono de repente se quedó sin batería, según la denuncia. Luego se enteró por AT&T que su contraseña había sido cambiada de forma remota "después de 11 intentos fallidos en las tiendas de AT&T".

Después de acceder al teléfono de Terpin, los atacantes utilizaron su información personal, incluyendo llamadas y mensajes de texto, para entrar en sus cuentas que utilizan números de teléfono como medio de verificación, incluyendo sus "cuentas en criptomonedas"; aunque no especifica el tipo de esas cuentas. Los hackers también secuestraron la cuenta de Skype de Terpin para hacerse pasar por él y convencer a uno de sus clientes de que les enviara criptomonedas.

Según se informa, AT&T cortó el acceso a los hackers sólo después de que lograron robar "fondos sustanciales" a Terpin. El documento también establece que después del incidente, el 13 de junio de 2017, Terpin se reunió con representantes de AT&T para discutir el ataque y AT&T le prometió que su cuenta sería movida a un "nivel de seguridad más alto" con "protección especial", similar a las utilizadas por celebridades:

"AT&T también le dijo al Sr. Terpin que la implementación de las medidas de seguridad incrementadas evitaría que el número del Sr. Terpin fuera movido a otro teléfono sin su permiso explícito, porque nadie más que el Sr. Terpin y su esposa sabrían el código secreto".

Sin embargo, medio año después, el sábado 7 de enero de 2018, el teléfono de Teprin se apagó de nuevo: fue atacado una vez más. La reclamación afirma que "un empleado de una tienda de AT&T cooperó con un impostor que cometió un fraude de SIM swap", a pesar de las medidas de seguridad adicionales que se tomaron en junio de 2017:

"Como AT&T admitió más tarde, un empleado de una tienda de AT&T en Norwich, Connecticut transfirió el número de teléfono móvil del Sr. Terpin a un impostor en violación de los compromisos y promesas de AT&T, incluyendo la mayor seguridad que supuestamente había puesto en la cuenta del Sr. Terpin después del pirateo del 11 de junio de 2017, que supuestamente se había implementado para prevenir precisamente dicho fraude".

Esta vez los ladrones supuestamente robaron cerca de $24 millones en criptomonedas, a pesar de que trató de contactar a AT&T "instantáneamente" después de que su teléfono dejó de funcionar. AT&T supuestamente "ignoró" su petición, dejando a los hackers suficiente tiempo para obtener suficiente información sobre las cuentas en criptos de Terpin para mover sus fondos a sus propias cuentas. La denuncia del demandante argumenta que la esposa de Terpin también intentó llamar a AT&T en ese momento, pero fue puesta en "espera interminable" cuando pidió ser conectada con el departamento de fraude de AT&T.

El caso Terpin podría ser un precedente legal para estafas de intercambio de tarjetas SIM

Como se resume en la reclamación, haciendo hincapié en la escala potencial de las estafas port out:

"AT&T no está haciendo nada para proteger a sus casi 140 millones de clientes del fraude con tarjetas SIM. Por lo tanto, AT&T es culpable directamente de estos ataques, ya que es consciente de que sus clientes están sujetos a fraude de SIM swap y de que sus medidas de seguridad son ineficaces. AT&T prácticamente no hace nada para proteger a sus clientes de este tipo de fraude porque se ha vuelto demasiado grande para preocuparse".

Cuando Gizmodo se puso en contacto con AT&T para pedirle un comentario sobre la historia, la compañía supuestamente negó la acusación, declarando que están listos para mantenerse firmes:

" Rechazamos estas acusaciones y esperamos presentar nuestro caso en la corte."

Terpin le dijo a Gizmodo que tales robos de criptomonedas son comúnmente realizados por "universitarios que se conectan en estos grupos de Discordia". También insistió en que en su caso, los ladrones utilizaron a un empleado de AT&T:

"La única cosa que ha sido un vínculo entre [los hackers de criptmonedas] es que en todos los casos han tenido a una persona con información privilegiada[...] [El comercio de criptomonedas] está a salvo mientras nadie dé a conocer su identidad digital."

Añadió que se puso en contacto con el FBI, Seguridad Nacional y el Servicio Secreto de Estados Unidos, y que han identificado al empleado de AT&T que supuestamente participó en el ataque.

Terpin también afirmó que ya no da a conocer su número de teléfono, sino que confía en Google Voice.

Cointelegraph ha contactado a los abogados de Terpin’ para especificar cuáles tokens le fueron robados, y dónde tenía su cuenta de criptomonedas. Esta historia será actualizada tan pronto como la solicitud del comentario sea respondida.