in

La propuesta de la FCC se enfoca en el intercambio de SIM y el fraude en la transferencia – Krebs on Security


los Comisión Federal de Comunicaciones de EE. UU. (FCC) solicita comentarios sobre las nuevas reglas propuestas para combatir el intercambio de SIM y el fraude de transferencia de números, donde los ladrones de identidad secuestran el número de teléfono celular de una víctima y obtienen el control de la identidad en línea de la víctima.

En un aviso con fecha de retraso del 30 de septiembre, la FCC dijo que planea instar rápidamente a las empresas de telefonía móvil a que implementen métodos más seguros para autenticar a los clientes antes de redirigir su número de teléfono a un nuevo dispositivo o proveedor.

«Hemos recibido numerosas quejas de consumidores que han sufrido importantes dificultades, inconvenientes y daños económicos a través de intercambios de SIM y fraude de transferencia», escribió la FCC. «Debido al daño grave asociado con el fraude de intercambio de SIM, consideramos apropiada una implementación rápida».

La FCC dijo que la propuesta fue en respuesta a una serie de quejas a la agencia y la empresa. Comisión Federal de Comercio de EE. UU. (FTC) sobre intercambios de SIM fraudulentos y fraude de transferencia de números. El intercambio de SIM ocurre cuando los estafadores engañan o sobornan a un empleado en una tienda de teléfonos celulares para que transfiera el control del número de teléfono de un objetivo a un dispositivo que controlan.

Desde allí, los atacantes pueden restablecer la contraseña de casi cualquier cuenta en línea vinculada a ese número de teléfono celular, ya que la mayoría de los servicios en línea aún permiten restablecer sus contraseñas simplemente haciendo clic en un enlace que se envía por SMS al número de teléfono almacenado.

Los estafadores cometen fraude de transferencia de números haciéndose pasar por un objetivo y solicitando que su número se transmita a otro proveedor de servicios inalámbricos (y a un dispositivo que controlan los atacantes).

La FCC dijo que los operadores de telefonía celular tradicionalmente han tratado de combatir ambas formas de fraude de números de teléfono al requerir datos estáticos sobre el cliente que ya no son secretos y que ya se han revelado en varios lugares, como la fecha de nacimiento y el número de seguro social. Como ejemplo, la Comisión citó la reciente violación de T-Mobile, que reveló estos datos de 40 millones de clientes actuales, pasados ​​y potenciales.

Además, las víctimas del fraude de intercambio de SIM y transferencia de números son a menudo las últimas en enterarse de su victimización. La FCC planea prohibir que los operadores de telefonía celular intercambien tarjetas SIM a menos que el operador de telefonía celular utilice un método seguro para autenticar a sus clientes. Específicamente, la Comisión propone que se pida a las empresas de transporte que verifiquen una “contraseña preestablecida” con los clientes antes de realizar cambios en sus cuentas.

Según la FCC, varios ejemplos de contraseñas preestablecidas incluyen:

-Un código de acceso de un solo uso enviado por SMS al número de teléfono de la cuenta o un número de respaldo prerregistrado
-un código de acceso de un solo uso que se enviará por correo electrónico a la dirección de correo electrónico asociada con la cuenta
-Una contraseña enviada por llamada de voz al número de teléfono de la cuenta o un número de teléfono de respaldo prerregistrado.

La comisión dijo que también estaba considerando actualizar sus reglas para exigir a los operadores celulares que desarrollen procedimientos para responder a los intentos fallidos de autenticación y notificar a los clientes de inmediato sobre cualquier solicitud de cambio de SIM.

Además, la FCC dijo que puede imponer requisitos adicionales de servicio al cliente, capacitación y transparencia a los operadores de telefonía celular, y señaló que demasiados representantes de servicio al cliente de los operadores de telefonía celular no están capacitados para ayudar a los clientes cuyos números de teléfono han sido robados.

La FCC dijo que algunas de las quejas de los consumidores que recibió describen «agentes de servicio al cliente de operadores de telefonía celular y empleados de sucursales que no saben cómo abordar los intercambios o cesiones de SIM fraudulentos que hacen que los clientes pasen largas horas en el teléfono y en las tiendas minoristas. » tiendas que intentan encontrar una solución. Otros consumidores se quejan de que sus proveedores de servicios inalámbricos se han negado a proporcionarles documentación relacionada con los intercambios de SIM fraudulentos, lo que les dificulta presentar reclamaciones ante sus instituciones financieras o agencias de aplicación de la ley «.

«Varias quejas de consumidores presentadas a la Comisión alegan que el personal de la tienda del operador de telefonía móvil estuvo involucrado en el fraude o que los operadores de telefonía móvil completaron intercambios de SIM a pesar de que el cliente había establecido previamente un PIN o contraseña para la cuenta», continuó la comisión.

Allison Nixon, experta en ataques de intercambio de SIM y directora de investigación de la firma de inteligencia cibernética Unit221B, con sede en Nueva York, dijo que cualquier nuevo requisito de autenticación debe sopesar los casos de uso legítimos para los clientes que solicitan una nueva tarjeta SIM cuando su dispositivo se pierde o es robado. Una tarjeta SIM es la pequeña tarjeta inteligente extraíble que un dispositivo móvil asigna a su operador de telefonía móvil y número de teléfono.

«En última instancia, cualquier tipo de defensa estática solo funcionará a corto plazo», dijo Nixon. “Usar SMS como segundo factor en sí mismo es una defensa estática. Y los criminales se adaptaron e hicieron que el problema fuera aún peor que el problema original que se suponía que debía resolver. La solución a largo plazo es que el sistema debe reaccionar a nuevos esquemas de fraude y adaptarse a ellos más rápido que la legislación.

¿Te gustaría sumarte a la propuesta de la FCC? Ellos quieren saber de usted. El sistema de archivo de comentarios electrónicos está aquí y el número de archivo para este procedimiento es el número de archivo WC 21-341.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Apple Pay puede usarse indebidamente para realizar pagos sin contacto desde iPhones bloqueados

CISA y Girls Who Code trabajan juntos para crear trayectorias profesionales para mujeres jóvenes