SIM Swapping

En nuestro mundo conectado, los dispositivos móviles lo son todo. Utilizamos iPhones, androides y otros dispositivos similares para la comunicación, el trabajo, la banca y el entretenimiento.

Los teléfonos se utilizan para capturar y almacenar recuerdos en vídeos e imágenes. Nos ayudan a administrar los archivos privados en nuestras cuentas de almacenamiento en la nube y a organizar nuestras vidas.

Las tarjetas SIM, pequeñas tarjetas que contienen chips dentro de nuestros teléfonos móviles, son las que nos permiten hacer todas estas cosas y estar conectados con familiares y amigos sin importar la distancia física.

¿Pero qué sucede cuando nos roban el uso de estas tarjetas? Esa es una de las muchas preguntas que las víctimas del fraude de intercambio de SIM, o lo que se conoce como SIM Swapping, enfrentan cada día.

Para comprender qué es un SIM Swapping, debemos comprender qué son las tarjetas SIM y cómo se ven afectadas por las estafas de intercambio de SIM. En este artículo, cubriremos todas estas cosas, compartiremos ideas de una víctima de fraude de intercambio de SIM y abordaremos cómo puede protegerse de este tipo de delito.

¿Qué es una tarjeta SIM y por qué es tan importante?

Primero, veamos qué es una tarjeta SIM.

Una tarjeta SIM , que representa una tarjeta de módulo de identidad del suscriptor, es esencialmente el identificador único de su teléfono. Es el equivalente del pasaporte o tarjeta de identificación de su teléfono.

Es una pequeña tarjeta que incluye chips que son usados por los proveedores de telefonía móvil para identificarnos individualmente como suscriptores y posibilitarnos la comunicación con sus redes móviles específicas. Esta pequeña pieza de tecnología nos permite usar nuestros dispositivos móviles para hacer llamadas telefónicas, enviar o recibir mensajes de texto (SMS) y aprovechar las redes 3G, 4G y 5G.

En muchos países, las tarjetas SIM están bloqueadas a operadores móviles específicos. Sin embargo, no todas las tarjetas SIM están limitadas a operadores específicos. Algunos son móviles, lo que significa que simplemente puede quitar la tarjeta y colocarla en un teléfono actualizado o de reemplazo sin problemas.

También hay una función que la mayoría (si no todos) los principales operadores pueden realizar que ayuda a los clientes a conectarse rápidamente en caso de que algo suceda con su teléfono. Esta capacidad, conocida como intercambio de SIM, es una función útil que le permite transferir su cuenta móvil de una tarjeta SIM a otra. Esto es útil si accidentalmente perdió su teléfono o de alguna manera dañó su tarjeta SIM.

Sin embargo, esta útil herramienta también funciona como un riesgo de seguridad cuando los ciberdelincuentes deciden usarla en su beneficio. Esto es lo que se conoce como fraude de intercambio de SIM, ataque SIM Swapping o secuestro de cuenta telefónica.

¿Qué es el SIM Swapping?

¿Nunca has oído hablar de ninguno de estos términos? No eres el único.

Lo que puede sorprender es que se cree que esta aparente estafa de alta tecnología ha existido durante la mayor parte de una década. Sin embargo, parece que solo ha comenzado a aumentar la tracción en los últimos años. El fraude de intercambio de SIM aumentó significativamente en 2017 y 2018, pero parecía haberse enfriado temporalmente en la primera mitad de 2019.

Sin embargo, durante el verano, hubo una ola criminal de intercambio de SIM que se dirigió a personas dentro de la comunidad de criptomonedas. Esto se debe a que el fraude de intercambio de SIM es altamente rentable. Los ataques de intercambio de SIM han provocado el robo de criptomonedas por valor de decenas de millones de dólares.

Una estafa de intercambio de SIM, también conocida como SIM Swapping, simjacking, secuestro de sim o estafa de port-out, es un fraude que ocurre cuando los estafadores aprovechan una debilidad en la autenticación y verificación de dos factores en la que el segundo paso es un mensaje de texto (SMS) o llamada a su número de teléfono móvil.

Funcionamiento

Para robar tu número, los estafadores comienzan reuniendo tanta información personal sobre ti como pueden obtener y utilizando la ingeniería social.

Los estafadores llaman a tu operador de telefonía móvil, se hacen pasar por ti y afirman haber perdido o dañado su tarjeta SIM. Luego le piden al representante de servicio al cliente que active una nueva tarjeta SIM en posesión del estafador. Esto transfiere tu número de teléfono al dispositivo del estafador que contiene una SIM diferente. O pueden afirmar que necesitan ayuda para cambiar a un nuevo teléfono.

¿Cómo pueden los estafadores responder tus preguntas de seguridad? Ahí es donde los datos que han recopilado sobre ti a través de correos electrónicos de phishing, malware, la web oscura o la investigación en redes sociales se vuelven útiles.

Una vez que obtienen acceso y control sobre tu número de teléfono móvil, los estafadores pueden acceder a tus comunicaciones telefónicas con bancos y otras organizaciones, en particular, tus mensajes de texto. Luego pueden recibir cualquier código o restablecimiento de contraseña enviado a ese teléfono a través de una llamada o mensaje de texto para cualquiera de tus cuentas.

¿Cómo obtienen tu dinero? Es posible que configuren una segunda cuenta bancaria a tu nombre en tu banco, donde, dado que ya es un cliente bancario, puede haber controles de seguridad menos sólidos. Es posible que las transferencias entre esas cuentas a tu nombre no generen ninguna alarma.

Redes sociales y SIM Swapping

Los estafadores pueden usar tus perfiles de redes sociales para recopilar información que pueda ayudarlos a hacerse pasar por ti.

Por ejemplo, si el apellido de soltera de tu madre o el nombre de tu mascota son respuestas a tus preguntas de seguridad, un estafador puede descubrir esa información en su perfil de Facebook. Pero las redes sociales también pueden alertarlo de ser víctima.

Considera el ejemplo de alto perfil de una estafa de intercambio de SIM contra el CEO de Twitter Jack Dorsey. La cuenta de Twitter de Dorsey fue pirateada cuando los estafadores obtuvieron el control de su número de teléfono y tuitearon mensajes ofensivos durante los 15 minutos que tardó en recuperar el control de su cuenta.

¿Cómo obtuvieron acceso los hackers a su número de teléfono? El operador de telefonía de Dorsey fue persuadido de alguna forma por los atacantes para que intercambiara las tarjetas SIM, proporcionando el número de teléfono de Dorsey a su tarjeta SIM y teléfono.

¿Cómo saber que eres víctima de un ataque de SIM Swapping?

Puede ser un desafío mantenerse por delante de las estafas de intercambio de SIM. Es importante reconocer las señales de advertencia, para que puedas cerrar el acceso de los atacantes lo más rápido posible.

Una señal de advertencia, como se ve en el caso de Dorsey, es la actividad en las redes sociales que no es tuya. Los tweets hechos a la cuenta de Twitter de Dorsey lo alertaron sobre la violación.

Aquí hay otras tres señales de que puede ser víctima del intercambio de SIM.

  • No puedes realizar llamadas o mensajes de texto. El primer indicio importante de que podrías ser víctima del intercambio de SIM es si no puedes efectuar llamadas telefónicas ni enviar mensajes de texto. Esto probablemente significa que los estafadores han desactivado tu SIM y están utilizando tu número de teléfono.
  • Te notifican la actividad en otro lugar. Sabrás que eres una víctima si tu proveedor de teléfono te notifica que tu tarjeta SIM o número de teléfono se ha activado en otro dispositivo.
  • No puedes acceder a las cuentas. Si tus credenciales de inicio de sesión ya no funcionan para tus cuentas bancarias y de tarjetas de crédito, es probable que hayas sufrido este ataque. Ponte en contacto con tu banco y otras organizaciones de inmediato.

Protección frente ataques de intercambio de SIM

Aquí hay formas que pueden ayudarte a protegerte para no ser víctima del fraude de intercambio de SIM.

  • Conducta online: sé precavido con los correos electrónicos de phishing y otras maneras en las que los atacantes pueden intentar acceder a tus datos personales para conseguir que tu banco o operador de telefonía móvil crea que eres tu.
  • Seguridad de la cuenta: aumenta la seguridad de la cuenta de tu teléfono móvil con una contraseña única y segura y preguntas y respuestas fuertes que solo tu conoces.
  • Códigos PIN: si tu proveedor de telefonía te permite establecer un código de acceso o PIN para tus comunicaciones, considera hacerlo. Podría proporcionar una capa adicional de protección.
  • ID: no crees tu autenticación de seguridad e identidad únicamente alrededor de tu número de teléfono. Esto incluye mensajes de texto (SMS), que no están encriptados.
  • Aplicaciones de autenticación: puedes usar una aplicación de autenticación como Google Authenticator, que te brinda autenticación de dos factores pero está vinculada a tu dispositivo físico en lugar de a tu número de teléfono.
  • Alertas de bancos y operadores de telefonía móvil: comprueba si tus bancos y operadores de telefonía móvil pueden combinar esfuerzos, compartiendo sus conocimientos sobre la actividad de intercambio de SIM e implementando alertas de usuario junto con controles adicionales cuando se vuelven a emitir tarjetas SIM, por ejemplo.
  • Tecnología de análisis de comportamiento: los bancos pueden usar tecnología que analiza el comportamiento de los clientes para ayudarlos a descubrir dispositivos comprometidos, advirtiéndoles que no envíen contraseñas por SMS.
  • Devolución de llamadas: algunas organizaciones vuelven a llamar a los clientes para asegurarse de que son quienes dicen ser y para atrapar a los ladrones de identidad.

Ejemplo

Rob Ross , un desarrollador de Apple convertido en empresario de Silicon Valley e inversor de blockchain, fue una de esas víctimas desafortunadas. Un millón de dólares, la mayoría de sus ahorros de toda la vida, fueron robados de sus cuentas en cuestión de minutos. Lo que es peor es que estaba viendo cómo sucedía en tiempo real y no podía hacer nada para detenerlo.

El hacker, o hackers, terminó asumiendo el control de su Gmail, sus cuentas de Dropbox e incluso su aplicación de autenticación de dos factores. Tener acceso a Authy proporcionó al atacante una lista de todas las aplicaciones que Ross utilizó para proteger la aplicación 2FA.

Ross dice que incluso con su experiencia como vicepresidente de desarrollo de negocios en dos compañías de seguridad digital, no lo preparó para este tipo de ataque.

Todos los que tienen un teléfono móvil son susceptibles a los ataques de intercambio de SIM, incluso las celebridades y otros piratas informáticos. El CEO de Twitter Jack Dorsey, un ex pirata informático, recientemente apareció en los titulares cuando su cuenta de Twitter fue tomada debido a un fraude de intercambio de SIM.

El intercambio de SIM es una de las razones por las cuales un número de teléfono puede no ser el mejor verificador de su identidad. Es un autenticador infringible. Agregar capas adicionales de protección podría ayudar a mantener tus cuentas, y tu identidad, más seguras.