Dos compañías de seguros estadounidenses advierten que es posible que se haya robado la información personal de miles de personas después de que piratas informáticos comprometieran los sistemas informáticos.
Washington National Insurance y Bankers Life, ambas subsidiarias de CNO Financial Group, fueron atacadas por piratas informáticos que intercambiaban SIM en noviembre de 2023.
Como hemos descrito antes, los ataques de intercambio de SIM involucran a estafadores que engañan al personal de atención al cliente de un operador de telefonía celular para que les dé el control del número de teléfono de otra persona. Esto permite al estafador recibir las llamadas telefónicas y los mensajes SMS de la víctima, incluidos tokens de autenticación de dos factores.
En algunos casos, los intercambiadores de SIM secuestran números de teléfono con la ayuda de un infiltrado deshonesto de la compañía de telefonía móvil.
Una carta de notificación de infracción enviada por Washington National Insurance a 20.360 personas afectadas explica que un ataque de intercambio de SIM al “número de teléfono de un alto funcionario” permitió a los piratas informáticos eludir la autenticación multifactor.
La compañía advirtió que la información personal, incluidos nombres, números de seguro social, fechas de nacimiento y números de póliza.
Bankers Life envió una carta de notificación de incumplimiento casi idéntica a 45.842 personas.
En resumen, la información personal de unas 66.000 personas está ahora en manos de ciberdelincuentes, que pueden utilizarla para fraudes o nuevos ataques.
Lo que encuentro particularmente alarmante es que los ataques de intercambio de SIM no son nuevos. Los delincuentes utilizan este método para ingresar a los sistemas sin autorización, ya sea para plantar ransomware, exfiltrar datos o robar criptomonedas.
La autenticación de dos factores basada en SMS es menos segura que las aplicaciones de autenticación con contraseñas de un solo uso basadas en el tiempo (TOTP) o claves de hardware. Sin embargo, las empresas todavía están abiertas al intercambio de SIM.
Dado que el intercambio de SIM es tan frecuente y fácil de realizar para los delincuentes, las organizaciones y los individuos deben evitar vincular cuentas a su número de teléfono. También deberían agregar capas adicionales de seguridad a sus cuentas de teléfonos celulares para que a un delincuente le resulte más difícil engañar a un operador de telefonía celular para que le entregue un número.
Ambas compañías de seguros deberían hablar claramente con su proveedor de telefonía móvil para evitar que vuelva a ocurrir un accidente similar.
