Este fin de semana, la cuenta de Vitalik Buterin fue hackeada, lo que provocó la publicación de un enlace de phishing que causó al menos 700.000 dólares en pérdidas a los inversores. Desde entonces, Buterin se ha pronunciado sobre el ataque, confirmando que fue el resultado de un intercambio de SIM.
Vitalik Buterin confirma que un «intercambio de SIM» fue la causa del pirateo de su cuenta X
Hace apenas unos días, Vitalik Buterin, el fundador de Ethereum (ETH), sufrió el hackeo de su cuenta X. Como recordatorio, esta suplantación fue utilizada para publicar un enlace de phishing, causando al menos 700.000 dólares en robos de criptodivisas y tokens no fungibles (NFT) a varios inversores que cayeron en la trampa.
En la red social descentralizada Warpcast, el afectado confirmó anoche que esta intrusión había sido posible gracias a un ataque denominado «SIM swap»:
Explicaciones de Vitalik Buterin en Warpcast
En pocas palabras, el SIM swapping te permite «clonar» la tarjeta SIM de tu víctima para recibir sus comunicaciones y, por extensión, sus códigos de doble autenticación. Hay varias formas de conseguirlo, bien haciéndose pasar por el objetivo ante su operador cuando se conocen sus datos personales, bien utilizando a un cómplice para que se ponga en contacto con el operador.
El número de teléfono: seguridad insuficiente
En X, se puede crear una cuenta utilizando el número de teléfono, lo que en este caso demuestra que existen lagunas de seguridad. Sin embargo, Vitalik Buterin explica que no recuerda haber facilitado su número al crear su cuenta, salvo al suscribirse al servicio premium, que sí es necesario.
Para evitar estos riesgos, conviene asegurarse de que los distintos identificadores de las cuentas consideradas sensibles no puedan restablecerse simplemente con el número de teléfono.
Para la doble autenticación, pueden preferirse aplicaciones especialmente dedicadas, aunque la solución más segura es utilizar claves de validación físicas. Las llaves de la marca Yubico, por ejemplo, lo permiten, al igual que los monederos físicos Ledger a través de la aplicación FIDO U2F.
Concluye diciendo que está contento de estar en Farcaster, que alimenta Warpcast, porque al menos su cuenta solo se puede recuperar con una dirección Ethereum válida. Es una observación interesante, porque este método de autenticación puede ser, en efecto, una alternativa más segura que los correos electrónicos y los números de teléfono para diversas cuentas web.
