- El enrutamiento de SMS ayuda a que los mensajes de texto urgentes lleguen a su destino correcto a través de varias redes celulares regionales y proveedores, como cuando un usuario recibe un código de seguridad SMS o un enlace para iniciar sesión en servicios en línea.
- Los códigos enviados a través de mensajes de texto SMS no son tan seguros como las formas más robustas de 2FA, como un generador de códigos basado en una aplicación.
YX International, que se especializa en la fabricación de equipos de redes celulares y en la prestación de servicios de enrutamiento de mensajes de textoSMS, ha sido descubierta dejando una base de datos interna expuesta a Internet sin contraseña. La base de datos contenía información confidencial, incluidos códigos de seguridad de un solo uso que potencialmente podrían otorgar acceso a las cuentas de Facebook, Google y TikTok de los usuarios.
Base de datos expuesta y colaboración con TechCrunch
Según se informa, YX International envía la asombrosa cantidad de 5 millones de mensajes de texto SMS al día. Sin embargo, esta exposición representó un riesgo de seguridad significativo, ya que permitía el acceso sin restricciones al contenido de los mensajes de texto enviados a los usuarios, incluidos códigos de acceso de un solo uso y enlaces de restablecimiento de contraseña para grandes empresas tecnológicas y de servicios en línea como Facebook, WhatsApp, Google y TikTok.
Anurag Sen, un investigador de seguridad de renombre, descubrió la base de datos expuesta y compartió los detalles conTechCrunchpara ayudar a identificar a su propietario y reportar el fallo de seguridad. La base de datos, que tenía registros mensuales que se remontaban a julio de 2023, crecía continuamente en tamaño, exponiendo potencialmente una gran cantidad de información confidencial.
Lea también:¿Cómo mejorar la ciberseguridad tras la filtración de la base de datos del Tribunal Estatal de Australia?
Preocupaciones de seguridad sobre la 2FA basada en SMS
Este incidente plantea preocupaciones sobre la seguridad de la autenticación de dos factores (2FA) basada en SMS, que está diseñada para proporcionar una capa adicional de protección contra el secuestro de cuentas. Si bien los códigos 2FA enviados por SMS son de uso común, no son tan seguros como otras formas de 2FA, como los generadores de códigos basados en aplicaciones, ya que son susceptibles a la interceptación o exposición.
Tras el descubrimiento de TechCrunch de la base de datos expuesta, también se encontraron conjuntos de direcciones de correo electrónico internas y contraseñas correspondientes asociadas con YX International. Después de alertar a la empresa, la base de datos se desconectó de inmediato y un representante de YX International declaró que la vulnerabilidad había sido solucionada.
Lea también:NTU de Singapur y Ocean Base para mejorar los sistemas de bases de datos
La duración de la exposición y el acceso no autorizado
Quedan preguntas sobre la duración de la exposición de la base de datos y si pudo haber ocurrido un acceso no autorizado. La respuesta de la empresa, en particular con respecto a la ausencia de registros de acceso en el servidor, deja incertidumbre sobre el alcance de la posible violación de datos.
Este incidente subraya la importancia crítica de medidas de seguridad sólidas, especialmente para las empresas que manejan datos y comunicaciones confidenciales de los usuarios. En una era de crecientes amenazas de ciberseguridad y violaciones de datos, es imperativo que las organizaciones prioricen la protección de la información de los usuarios y aborden de inmediato cualquier vulnerabilidad que pueda comprometer la integridad y privacidad de los datos.
Cuando se les solicitó un comentario, los representantes de Meta, Google y TikTok no respondieron a las solicitudes de información sobre el asunto, lo que resalta la necesidad de una mayor transparencia y responsabilidad por parte de las empresas tecnológicas en el manejo de incidentes de seguridad de datos.
