Cuando obtiene un nuevo número de teléfono, los operadores de telefonía móvil a menudo “reciclan” el anterior, asignándolo a un nuevo teléfono y, por lo tanto, a un nuevo cliente. Los transportistas dicen que la razón por la que hacen esto es para evitar un futuro hipotético de “agotamiento de los números”, una especie de “cenit del petróleo” para los números de teléfono, cuando se han tomado todos los números posibles que podrían asignarse a un teléfono.
Sin embargo, el acto de reciclar números en realidad trae consigo una serie de riesgos de seguridad y privacidad, un nuevo estudio realizado por los investigadores de la Universidad de Princeton muestra. La mayoría de las veces, los números reciclados permiten que los nuevos clientes accedan a información antigua de los clientes, lo que abre oportunidades para una variedad de encuentros invasivos y potencialmente explotadores.
Por un lado, los nuevos propietarios de números a menudo seguirán recibiendo actualizaciones personalizadas destinadas al antiguo propietario. Esto puede ser bastante invasivo, para ambas partes: el estudio relata un incidente particular en el que un usuario de un nuevo número fue “bombardeado con mensajes de texto que contenían resultados de análisis de sangre y reservaciones de citas de spa” que obviamente estaban destinados a otra persona. Si bien esto puede parecer más cómico que preocupante, el acceso presentado por un número de teléfono obviamente puede ser mucho más terrible.
A pesar de que los números de teléfono se utilizan normalmente en la autenticación de dos factores o para otros fines de seguridad, las personas a menudo no actualizan inmediatamente todas sus cuentas en línea cuando cambian de número. y los números antiguos pueden permanecer como métodos para restablecer contraseñas autenticadas por SMS. Esto significa que los números antiguos podrían usarse para conectarse a redes sociales, correo electrónico o cuentas de consumidores. Los investigadores dicen que se podría recopilar fácilmente otra información personal para aumentar tales adquisiciones de cuentas, generalmente de “sitios de búsqueda de personas” en línea como BeenVerified o Intelius (estos sitios no siempre tienen la información más precisa y actualizada, sin embargo). Los números de teléfono también se pueden emparejar con contraseñas extraídas de datos grandes infracciones. En else formas, un mal actor podría potencialmente cometer fraude y / o secuestrar cuentas para robar más datos personales, o para otros propósitos nefastos.
Si estos escenarios pueden parecer un poco inverosímiles, la oportunidad de cometerlos parece bastante grande. Uno de los investigadores, Arvind Narayanan, dijo eso El 66% de los números reciclados que muestrearon todavía estaban vinculados a las cuentas en línea de los propietarios anteriores y, como resultado, eran potencialmente vulnerables al secuestro de cuentas. Los investigadores encuestaron 259 números de teléfono y, de ellos, 215 fueron “reciclados y también vulnerables a al menos uno de los tres ataques”, dice el estudio. Los investigadores escriben:
“Obtuvimos 200 números reciclados durante una semana y descubrimos que 19 de ellos todavía recibían llamadas y mensajes sensibles a la seguridad / privacidad (p. Ej., Códigos de acceso de autenticación, recordatorios de reabastecimiento de recetas). Los nuevos propietarios a los que, sin saberlo, se les asigna un número reciclado pueden darse cuenta de los incentivos para explotar al recibir comunicación sensible no solicitada y convertirse en adversarios oportunistas “.
G / O Media puede obtener una comisión
Narayanan dijo que después de que él y su compañero investigador, Kevin Lee, se comunicaron con los operadores sobre estos problemas, “Verizon y T-mobile mejoraron su documentación, pero no han dificultado el ataque”. Básicamente, las empresas facilitaron un poco a los usuarios la información sobre estas vulnerabilidades, pero en última instancia no hicieron nada para evitar que ocurrieran los posibles ataques.
Toda esta línea de investigación depende en gran medida de la premisa de que quien obtenga su nuevo número resulta ser un canalla malévolo, dispuesto a explotar su información personal para su beneficio. Si bien ese podría no ser el caso 9 de cada 10 veces, las vulnerabilidades presentadas por el reciclaje de números son ciertamente suficientes para que se preocupe por sus salvaguardas actuales.
.