Mis padres disponen, cada uno de ellos, de un feature phone, uno de esos viejos teléfonos móviles que no pueden hacer mucho más que llamar, gestionar SMS, y escuchar la radio. Y tal vez eso les ha salvado de alguna incidencia de ciberseguridad, porque están ya acostumbrados a recibir mensajes SMS del Servei Català de la Salut que incluyen URLs largas para gestionar citas y otros detalles de su relación con el servicio que la sanidad pública les ofrece, algo que un reciente estudio ha dictaminado que puede suponer un riesgo para la seguridad.
Como soy su consultor y técnico informático particular, siempre les he aconsejado que desechen estas URLs (que, por otra parte, no pueden seguir desde su móvil, y tampoco les he preparado el ordenador para que puedan sincronizarlo con el teléfono y seguirlas desde allí), y me he negado a seguirlas yo mismo porque es bastante fácil crear un phishing que simule proceder desde este servicio con una URL que conduzca a un sitio dañino. Y, a tenor de lo que motiva este artículo, no me he equivocado.
El problema principal recae en las URLs que se utilizan como validación de la identidad digital del usuario y, por lo tanto, actúan a modo de credenciales validando su acceso al sistema remoto y permitiéndole acceder a datos privados de su cuenta.
Estas URLs se crean de esta manera para proporcionar una experiencia de usuario sin fricciones al simplificar el acceso, ya que este solamente depende de hacer clic sobre la URL para poder acceder a sus datos sin tener que emplear nombre de usuario y contraseña.
Sin embargo, el protocolo SMS es inherentemente inseguro, con riesgos documentados de interceptación y fugas de datos, según afirman los responsables del estudio referido, que se ha basado en el análisis de más de 33 millones de mensajes y 322.000 URLs únicas extraídas de pasarelas públicas de SMS, para revelar graves deficiencias en la seguridad de estas prácticas.
Aproximadamente el 97% de las exposiciones de información personal identificable detectadas se deben al uso de enlaces con tokens de portador, el modelo comentado en el que la propia URL actúa como credencial de autenticación.
Esta confianza excesiva en un canal inseguro permite que cualquier persona con acceso al enlace pueda visualizar datos privados sin mayor problema que seguir la URL.
El análisis temporal muestra que estas vulnerabilidades no son efímeras: el 45,69% de los servicios analizados mantenían enlaces activos al menos dos años después de su emisión. La investigación identificó 701 puntos finales vulnerables que afectan a 177 servicios distintos.
Entre la información comprometida, en su mayoría en servicios estadounidenses (pero con conclusiones extrapolables aquí, ya que la tecnología empleada es la misma) se encuentran números de la seguridad social, fechas de nacimiento, cuentas bancarias y puntuaciones crediticias. Además, se construyeron 206 perfiles de usuario únicos donde se combinaban nombres con datos de contacto como teléfonos o direcciones postales, facilitando posibles ataques dirigidos de ingeniería social o pesca selectiva.
Un hallazgo relevante es la presencia de servicios pertenecientes a sectores críticos: de las organizaciones analizadas, 27 corresponden al ámbito de los negocios y la economía, 23 a tecnología de la información y 19 a servicios financieros, estas últimas con riesgos elevados en formularios de préstamos pre-rellenados.
A pesar de que normativas como el RGPD abogan por políticas de retención de datos seguras, la falta de plazos específicos permite que estas URLs sigan operativas de manera prolongada.
El estudio ahonda en las posibilidades de que ciberatacantes puedan dar con URLs válidas que les faciliten el acceso a datos privados de usuarios, con solamente ataques por fuerza bruta, probando la formación de URLs a partir de datos conocidos del servicio.
Durante la confección del estudio, también se detectaron deficiencias en la navegación de las interfaces web de destino en la otra punta de las URLs enviadas, donde elementos que parecen inofensivos revelan información sensible tras unos pocos clics, y prácticas de sobrecarga de datos en las que el servidor envía al cliente más información de la que realmente se muestra en pantalla.
Por otro lado, servicios que requieren una segunda capa de autenticación, como el código postal o la fecha de nacimiento, resultaron vulnerables debido a la previsibilidad de estos parámetros y la ausencia de límites en los intentos de acceso. En casos extremos, seis servicios permitían la toma total de control de la cuenta simplemente poseyendo la URL, habilitando cambios en contraseñas y correos electrónicos.
Tras el descubrimiento de estas vulnerabilidades, se inició un proceso de divulgación responsable hacia los proveedores afectados. Este esfuerzo reveló una baja preparación del sector, ya que muchos proveedores carecían de canales formales para reportar fallos o desestimaron las alertas confundiéndolas con estafas.
No obstante, y según señalan los autores del estudio, la intervención permitió que dieciocho servicios corrigieran sus deficiencias, protegiendo así la privacidad de al menos 120 millones de usuarios.
