SIM swapping: qué es y cómo funciona este fraude

Si te preguntara ¿qué información te daría más miedo perder de la que tiene tu Smartphone?, muchos usuarios seguramente antepongan sus aplicaciones de redes sociales a otras cosas. Sin embargo, no todos tienen presente que en nuestro teléfono móvil existe algo que puede ser de mucho interés para los delincuentes y que puede convertir un robo de datos y una suplantación de identidad en un robo de dinero desde nuestra cuenta bancaria o billetera de criptomonedas.

Fases del SIM swapping

Debemos tener en cuenta que esta técnica no es consecuencia de un fallo de seguridad en nuestros dispositivos, sino en la falta de implementación de protocolos de verificación estrictos a la hora de solicitar una copia de nuestra tarjeta SIM. Además, esta técnica se usa conjuntamente con otras de ingeniería social para poder obtener beneficios, ya que lo que buscan los delincuentes en este caso es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles.

En una primera fase, los delincuentes tratan de obtener las credenciales del usuario; normalmente aquellas relacionadas con la banca online para maximizar el beneficio económico, aunque, este no es el único objetivo. El robo de credenciales suele realizarse mediante técnicas de ingeniería social tradicionales, como puede ser, por ejemplo, usando webs fraudulentas a las que se redirige al usuario desde un enlace enviado un correo electrónico o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria.

Una vez conseguidas las credenciales, los delincuentes tratan de obtener un clonado de la SIM de la víctima para así poder recibir los códigos de verificación por SMS (doble factor de autenticación).

Para eso, los cibercriminales se aprovechan de las pobres medidas de verificación de la identidad que suelen solicitar algunos operadores. Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta. Muchas veces ocurre que los usuarios se dan cuenta qué existe algún problema cuando dejan de tener señal en su teléfono.

No es raro ver que a los delincuentes no les ponen demasiadas barreras a la hora de obtener este duplicado de la SIM y esto es un serio problema. Una vez conseguido este duplicado, los delincuentes pueden entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación no tendrán problema, puesto que reciben los mensajes con el doble factor de autenticación (2FA) en la SIM clonada.

Otros ataques derivados del SIM Swapping

Los delincuentes no solo buscan acceder a las cuentas bancarias de sus víctimas. Otros activos valiosos incluyen billeteras de criptomonedas o cuentas de servicios online como; por ejemplo, los de Google.

En este último caso, si los cibercriminales han conseguido las credenciales de la víctima, pueden llegar a saltarse el 2FA solicitando un código de un solo uso enviado por SMS. Una vez que han accedido a la cuenta, pueden tener el control de nuestra cuenta de correo, contactos, etc.

Lo mismo podemos decir de los accesos a otros servicios, como Facebook, Instagram, Tik Tok o similares; algo que puede arruinar la reputación online de la víctima y que los delincuentes aprovechan para chantajearla. Podrían, por poner un ejemplo, obtener fotos y conversaciones comprometedoras y amenazar con hacerlas públicas a menos que se acepte el pago de una cantidad.

Tampoco debemos olvidarnos de otras aplicaciones que solemos usar para realizar transferencias y que permiten también almacenar dinero. Un claro ejemplo sería PayPal, que también incorpora un 2FA en forma de mensaje SMS y que, en caso de que los delincuentes consiguieran las credenciales de acceso y un clonado de la SIM, podrían no solo retirar los fondos guardados, sino también hacerse pasar por nosotros para solicitar dinero a nuestros contactos.

Haciendo frente al SIM swapping

Para luchar contra esta amenaza haría falta un replanteamiento total del procedimiento de verificación de identidad que aún realizan muchas entidades bancarias y servicios online. Por desgracia, no siempre es posible utilizar el método de 2FA que deseamos utilizar y esto nos obliga a tomar medidas más drásticas. Una de estas medidas sería contactar con nuestra operadora y asegurarnos de que no se va a realizar ningún clonado de nuestra tarjeta a menos que lo solicitemos presencialmente en alguna tienda u oficina con un documento que nos identifique.

En todo caso, para que esta medida funcione, la operadora deberá ser capaz de cumplir a rajatabla nuestras exigencias, lo cual es bastante difícil en algunos casos. Por si fuera poco, se ha sabido de casos en los que los delincuentes contaban con la colaboración de empleados de la operadora móvil, haciendo más difícil bloquear esta mala práctica.

Por suerte, la policía cibernética es conocedora de esta técnica y vemos como cada cierto tiempo desmantelan alguna banda dedicada a este tipo de delito.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


Ernesto Mota

Ernesto Mota

Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

También te podría gustar...