Su experiencia es parte de una tendencia más grande. En enero de 2013, la Comisión Federal de Comercio recibió 1.038 informes de estos incidentes, lo que representa el 3,2% de todos los informes de robo de identidad a la FTC. En enero de 2016, 2.658 incidentes de este tipo se presentaron.
Aunque es difícil poner un número en los ataques de criptografía, Coinbase, el mayor volumen de intercambio de criptocurrencias con sede en Estados Unidos, dice que está en camino de ver el doble de los casos de noviembre a diciembre entre sus clientes. Entre los objetivos de la industria se encuentran Adam Draper, Brock Pierce, Bo Shen y Steve Waterhouse, un ejecutivo sin nombre en Coinbase, el director ejecutivo de Gem, Micah Winkelspecht, el ex ejecutivo de Bitfury Michael Golomb y el empresario Charlie Shrem, y otros que se negaron a ser nombrados por temor a seguir siendo objetivo para esta estafa.
Sin embargo, la debilidad de la seguridad que se está explotando aquí no es una que sólo afecta a los jugadores de la industria de la criptografía, que simplemente están siendo objetivo en primer lugar porque tales transacciones no se pueden deshacer. La falla de seguridad que estos hackers están ordeñando puede ser usada contra cualquier persona que use su número de teléfono para la seguridad de servicios tan comunes como Google, iCloud, PayPal, Dropbox, Evernote, Facebook, Twitter y muchos otros. Los hackers han infiltrado cuentas bancarias y han intentado iniciar transferencias electrónicas; utilizan tarjetas de crédito para acumular cargos; obtienen cuentas de Dropbox que contienen copias de pasaportes, tarjetas de crédito y declaraciones de impuestos y extorsionan a las víctimas utilizando información incriminatoria que se encuentra en sus cuentas de correo electrónico.
Las regulaciones dejan la seguridad a los transportistas
A principios de los años 2000, la Comisión Federal de Comunicaciones (Federal Communications Commission) implementó reglas que exigen que los transportistas lleguen al puerto cuando reciban una solicitud válida, para evitar que ellos retengan a los clientes como rehenes de su servicio. Para iniciar un puerto, el nuevo operador debe obtener el número de teléfono, número de cuenta, código postal y código de acceso, si el cliente ha elegido utilizar uno.
En cuanto a la verificación y protección de la identidad, “los transportistas tienen el deber de proteger la información de los clientes y la reciente orden de privacidad de la FCC refuerza las reglas de seguridad de los datos del cliente”, dijo Mark Wigfield, portavoz de FCC, en una declaración por correo electrónico. Aunque las reglas se crearon para las compañías de banda ancha, también se aplican a los operadores de telefonía móvil, aunque no están dirigidas específicamente a la prevención de secuestros telefónicos. La FCC ofrece directrices sobre cómo los proveedores deben proteger la información de los clientes, tales como “implementar las mejores prácticas de la industria actualizadas y relevantes” y “robustas herramientas de autenticación de clientes”, pero el proceso exacto depende de cada compañía.
Las normas de la FCC no exigen que las compañías aéreas ofrezcan “congelaciones de puertos”, y no parece que los intentos de hacerlo tengan algún efecto. Tanto Waterhouse como Weeks dijeron a sus proveedores (Verizon y T-Mobile, respectivamente) que anotaran en la cuenta que estaban siendo atacados por hacks. Eso no hizo nada para evitar los secuestros.
¿Quiénes son los piratas informáticos?
Varias personas se han comunicado con sus hackers, incluso por teléfono. Aunque muchas de las direcciones IP conducen a Filipinas, la mayoría de los que hablaron con sus hackers por teléfono dijeron que sus hackers sonaban como 20 hombres americanos. Pero la mayoría de las víctimas están de acuerdo en que no es un hacker solitario, sino un equipo o varios equipos, lo que es probable que sean capaces de violar tantas cuentas en un período de tiempo tan corto que se convierta en una verdadera pesadilla.
Una vez que han violado una cuenta, los hackers parecen peinar los datos de esa víctima para otros contactos. Golomb, el ex ejecutivo de Bitfury, dijo que una vez que los hackers estaban en su Dropbox, pudo ver que alguien en Filipinas estaba buscando en sus archivos palabras como “bitcoin”, “wallets” y los nombres de ejecutivos de Bitfury y miembros de la junta directiva, en particular aquellos que podrían haber tenido las credenciales de acceso a las cuentas bancarias de la empresa. El FBI está investigando los crímenes, pero se negó a hacer comentarios.
Sprint, Verizon y T-Mobile se negaron a comentar esta historia, al igual que el Portador de Administración de la Portabilidad Numérica, que administra el sistema que permite la portabilidad numérica. John Marinho, vicepresidente de tecnología y seguridad cibernética de la organización CTIA, emitió un comunicado por correo electrónico: “Todos nuestros miembros consideran que la privacidad y la seguridad de sus clientes son su máxima prioridad. Cada uno de ellos cuenta con amplios procedimientos y protocolos para proteger la información personal y los datos de sus clientes y responder a la evolución de la seguridad”.