Scott Melker cuenta cómo fue víctima de un ataque de intercambio de SIM
Scott Melker, también conocido como el “The Wolf of All Streets”, dice que fue víctima de un ataque de intercambio de SIM en febrero, pero se las arregló para evitar perder cualquier criptoactivo.
En un post del 4 de agosto en el sitio web de Melker titulado “Consejos de seguridad y lecciones aprendidas de mi hackeo”, el trader dijo que fue capaz de proteger el acceso a sus cuentas bancarias, tarjetas de crédito y exchanges de criptomonedas después de que un hacker asumiera su identidad engañando a su compañía telefónica y desviara las comunicaciones de Melker al teléfono del hacker.
Según Melker, el hacker tenía acceso a su número y a sus mensajes de texto, lo que le habría dado acceso a todos sus fondos si hubiera confiado en la autenticación de dos factores (2FA) entregada a través de un mensaje de texto.
Sin embargo, usó una forma de 2FA (Google Authenticator, Authy) que se mantuvo en un dispositivo separado, fuera de línea. “Esto es lo único que me salvó en gran medida del mayor daño”, dijo Melker.
“Incluso con mis nombres de usuario y contraseñas, no pudieron acceder a mi 2FA. Esto me dio suficiente tiempo para contactar con mis bancos, tarjetas de crédito, exchanges de criptomonedas, etc. y tener mis cuentas bloqueadas.”
Palabras de advertencia
Según se informa, los hackers robaron USD 8.7 millones en criptoactivos de Reggie Middleton, director general de la empresa de criptomonedas Veritaseum, en una serie de ataques de intercambio de SIM de T-Mobile en julio de 2017. El inversor Michael Terpin Terpin también declara que perdió USD 24 millones en criptomonedas como resultado de dos ataques de intercambio de SIM de AT&T que ocurrieron entre 2017 y 2018.
Entonces, ¿cómo sugiere Melker evitar un destino similar?
“Nunca uses la verificación de SMS como parte de tu 2FA“, declaró Melker definitivamente. “[Los hackers] cuentan con esta vulnerabilidad en un ataque de intercambio de SIM. 2FA es una espada de doble filo, ofrece protección cuando se usa correctamente (en un dispositivo separado), pero permite un fácil acceso a todo si es simplemente un mensaje de texto a su teléfono, porque el hacker estará recibiendo sus textos y llamadas.”
Él recomendó usar un autentificador (la versión de Google sobre Authy que dijo que podía ser hackeada) en un dispositivo separado, fuera de línea y no en su actual teléfono.
“En el momento en que te cambian la tarjeta SIM, todo en tu teléfono actual se convierte en una pérdida.”
Recomendó usar 2FA para todas las cuentas, desde las redes sociales hasta la banca, y dejar de usar Chrome, que según él tiene vulnerabilidades “asombrosas”. Con respecto a los criptoactivos en particular, Melker animó a los traders a retirar sus números de teléfono de los exchanges, y a mantener sus activos en almacenamiento fuera de línea.
“Claramente no podemos confiar en que las compañías telefónicas nos protejan“, dijo.
Sigue leyendo: