Ciberataques de SIM Swapping

Entre los miles de ciberataques que circulan por la red, tanto en PCs, tablets, como el móviles, hay uno un tanto desconocido: el SIM swapping o el duplicado de tu tarjeta SIM.

En nuestro mundo conectado, los dispositivos móviles lo son todo. Utilizamos iPhones, androides y otros dispositivos similares para la comunicación, el trabajo, la banca y el entretenimiento. Los teléfonos se utilizan para capturar y almacenar recuerdos en vídeos e imágenes. Nos ayudan a administrar los archivos privados en nuestras cuentas de almacenamiento en la nube y organizar nuestras vidas.

Las tarjetas SIM, pequeñas tarjetas que contiene chips dentro de nuestros teléfonos móviles, son las que nos permiten hacer todas estas cosas y estar conectados con familiares y amigos sin importar la distancia física.

¿Pero qué sucede cuando nos roban el uso de estas tarjetas? Es una de las muchas preguntas que las víctimas del fraude de intercambio de SIM, o lo que se conoce como SIM Swapping, se enfrentan cada día.

¿Qué es el SIM Swapping?

Una estafa de intercambio de SIM, también conocida como SIM Swapping, simjacking, secuestro de sim o estafa de port-out, es un fraude que ocurre cuando los estafadores aprovechan una debilidad en la autenticación y verificación de dos factores en la que el segundo paso es un mensaje de texto (SMS) o llamada a su número de teléfono móvil.

Para robar tu número, los estafadores comienzan reuniendo tanta información personal sobre ti como puedan obtener y utilizando la ingeniería social.

Los estafadores llaman a tu operador de telefonía móvil, se hacen pasar por ti y afirman haber perdido o dañado su tarjeta SIM. Luego le piden al representante de servicio al cliente que active una nueva tarjeta SIM en posesión del estafador. Esto transfiere tu número de teléfono al dispositivo del estafador que contiene una SIM diferente. O pueden afirmar que necesitan ayuda para cambiar a un nuevo teléfono.

¿Y cómo pueden los estafadores responder tus preguntas de seguridad? Básicamente, los datos los han recopilado sobre ti a través de correos electrónicos de phishing, malware, la web oscura o la investigación en redes sociales.

Una vez que obtienen acceso y control sobre tú número de móvil, los estafadores pueden acceder a tus comunicaciones telefónicas con bancos y otras organizaciones usando, en particular, tus mensajes de texto. Luego pueden recibir cualquier código o restablecimiento de contraseña enviado a ese teléfono a través de una llamada o mensaje de texto para cualquier de tus cuentas.

¿Cómo obtienen tu dinero? Es posible que configuren una segunda cuenta bancaria a tu nombre en tu banco, donde, dado que ya es un cliente bancario, puede haber controles de seguridad menos sólidos. Es posible, incluso, que las transferencias entre esas cuentas a tu nombre no generen ninguna alarma.

¿Cómo saber si eres víctima de un ataque de SIM Swapping?

Es importante reconocer las señales de advertencia, para que puedas cerrar el acceso de los atacantes lo más rápido posible.

Una señal de advertencia, como se ve por ejemplo en el caso de Dorsey, es la actividad en las redes sociales que no es tuya. Los tweets hechos a la cuenta de Twitter de Dorsey lo alertaron sobre la violación.

Aquí hay otras señales de que puede ser víctima del SIM Swapping

• No puedes realizar llamadas o recibir mensajes de texto. El primer indicio importante de que podrías ser víctima del SIM Swapping es si no puedes efectuar llamadas telefónicas ni enviar mensajes de texto.
• Te notifican la actividad en otra ubicación. Sabrás que eres una víctima si tu proveedor de teléfono te notifica que tu tarjeta SIM se ha activado en otro dispositivo.
• No puedes acceder a tus cuentas, ya sea de banco u otra organización.

Protección frente ataques de SIM Swapping

Aquí hay formas que pueden ayudarte para no ser víctima del fraude de intercambio de SIM.

• Conducta online: sé precavido con los correos electrónicos de phishing y otras maneras en las que los atacantes pueden intentar acceder a tus datos personales.
• Seguridad de la cuenta: aumenta la seguridad de la cuenta con una contraseña única y segura, y preguntas y respuestas fuertes que solo tú conoces.
• Códigos PIN: si tu proveedor de telefonía te permite establecer un código de acceso o PIN para tus comunicaciones, considera hacerlo.
• Aplicaciones de autenticación: puedes usar una aplicación de autenticación como Microsoft Authenticator que te brinda autenticación de dos factores, pero está vinculada a tu dispositivo físico y no a tu número de teléfono.

Ejemplo

Rob Ross, un desarrollador de Apple convertido en empresario en Silicon Valley e inversor de Blockchain, fue una de esas víctimas desafortunadas. Un millón de dólares, la mayoría de sus ahorros de toda la vida, fueron robados de sus cuentas en cuestión de minutos. Lo que es peor es que estaba viendo cómo sucedía en tiempo real y no podía hacer nada para detenerlo.

El hacker, o hackers, terminó asumiendo el control de su Gmail, sus cuentas de Dropbox e incluso su aplicación de autenticación en dos factores. Tener acceso a Authy proporcionó al atacante una lista de todas las aplicaciones que Ross utilizó para proteger la aplicación 2FA.

Ross dice que incluso con su experiencia como vicepresidente de desarrollo de negocios en dos compañías de seguridad digital, no lo preparó para este tipo de ataque.

Todos los que tienen un teléfono móvil son susceptibles a los ataques de intercambio de SIM, incluso las celebridades y otros piratas informáticos. El CEO de Twitter Jack Dorsey, un ex pirata informático, también apareció en los titulares cuando su cuenta de Twitter fue tomada debido a un fraude de SIM Swapping.

El SIM Swapping es una de las razones por las cuales un número de teléfono puede no ser el mejor verificador de su identidad. Es un autenticador infringible. Agregar capas adicionales de protección podría ayudar a mantener tus cuentas y tu identidad, más seguras