SIM swapping: qué es y cómo funciona este fraude

Si te preguntara ¿qué información te daría más miedo perder de la que tiene tu Smartphone?, muchos usuarios seguramente antepongan sus aplicaciones de redes sociales a otras cosas. Sin embargo, no todos tienen presente que en nuestro teléfono móvil existe algo que puede ser de mucho interés para los delincuentes y que puede convertir un robo de datos y una suplantación de identidad en un robo de dinero desde nuestra cuenta bancaria o billetera de criptomonedas.

Fases del SIM swapping

Debemos tener en cuenta que esta técnica no es consecuencia de un fallo de seguridad en nuestros dispositivos, sino en la falta de implementación de protocolos de verificación estrictos a la hora de solicitar una copia de nuestra tarjeta SIM. Además, esta técnica se usa conjuntamente con otras de ingeniería social para poder obtener beneficios, ya que lo que buscan los delincuentes en este caso es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles.

En una primera fase, los delincuentes tratan de obtener las credenciales del usuario; normalmente aquellas relacionadas con la banca online para maximizar el beneficio económico, aunque, este no es el único objetivo. El robo de credenciales suele realizarse mediante técnicas de ingeniería social tradicionales, como puede ser, por ejemplo, usando webs fraudulentas a las que se redirige al usuario desde un enlace enviado un correo electrónico o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria.

Una vez conseguidas las credenciales, los delincuentes tratan de obtener un clonado de la SIM de la víctima para así poder recibir los códigos de verificación por SMS (doble factor de autenticación).

Para eso, los cibercriminales se aprovechan de las pobres medidas de verificación de la identidad que suelen solicitar algunos operadores. Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta. Muchas veces ocurre que los usuarios se dan cuenta qué existe algún problema cuando dejan de tener señal en su teléfono.

No es raro ver que a los delincuentes no les ponen demasiadas barreras a la hora de obtener este duplicado de la SIM y esto es un serio problema. Una vez conseguido este duplicado, los delincuentes pueden entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación no tendrán problema, puesto que reciben los mensajes con el doble factor de autenticación (2FA) en la SIM clonada.

Otros ataques derivados del SIM Swapping

Los delincuentes no solo buscan acceder a las cuentas bancarias de sus víctimas. Otros activos valiosos incluyen billeteras de criptomonedas o cuentas de servicios online como; por ejemplo, los de Google.

En este último caso, si los cibercriminales han conseguido las credenciales de la víctima, pueden llegar a saltarse el 2FA solicitando un código de un solo uso enviado por SMS. Una vez que han accedido a la cuenta, pueden tener el control de nuestra cuenta de correo, contactos, etc.

Lo mismo podemos decir de los accesos a otros servicios, como Facebook, Instagram, Tik Tok o similares; algo que puede arruinar la reputación online de la víctima y que los delincuentes aprovechan para chantajearla. Podrían, por poner un ejemplo, obtener fotos y conversaciones comprometedoras y amenazar con hacerlas públicas a menos que se acepte el pago de una cantidad.

Tampoco debemos olvidarnos de otras aplicaciones que solemos usar para realizar transferencias y que permiten también almacenar dinero. Un claro ejemplo sería PayPal, que también incorpora un 2FA en forma de mensaje SMS y que, en caso de que los delincuentes consiguieran las credenciales de acceso y un clonado de la SIM, podrían no solo retirar los fondos guardados, sino también hacerse pasar por nosotros para solicitar dinero a nuestros contactos.

Haciendo frente al SIM swapping

Para luchar contra esta amenaza haría falta un replanteamiento total del procedimiento de verificación de identidad que aún realizan muchas entidades bancarias y servicios online. Por desgracia, no siempre es posible utilizar el método de 2FA que deseamos utilizar y esto nos obliga a tomar medidas más drásticas. Una de estas medidas sería contactar con nuestra operadora y asegurarnos de que no se va a realizar ningún clonado de nuestra tarjeta a menos que lo solicitemos presencialmente en alguna tienda u oficina con un documento que nos identifique.

En todo caso, para que esta medida funcione, la operadora deberá ser capaz de cumplir a rajatabla nuestras exigencias, lo cual es bastante difícil en algunos casos. Por si fuera poco, se ha sabido de casos en los que los delincuentes contaban con la colaboración de empleados de la operadora móvil, haciendo más difícil bloquear esta mala práctica.

Por suerte, la policía cibernética es conocedora de esta técnica y vemos como cada cierto tiempo desmantelan alguna banda dedicada a este tipo de delito.

Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

Hacker vende acceso a 448 servidores de la Comisión Nacional de Seguros y Finanzas de México (CNSF). ¿fuga de datos de millones de mexicanos?

Un hacker está vendiendo el acceso de administrador al dominio de la Comisión Nacional de Seguros y Finanzas (CNSF), organismo público mexicano encargado de...

Llega Invidious, la plataforma libre que nos permite seguir accediendo a YouTube sin que Google nos rastree (y descargar vídeo y audio)

Bien sabemos que YouTube es el principal portal de vídeos de Internet desde hace ya 13 años, es muy común que muchos vídeos que...

Una nueva funcionalidad de Microsoft 365 es el mayor sistema de vigilancia en nuestro trabajo

Una nueva funcionalidad de Microsoft 365 es el "mayor sistema de vigilancia en el puesto de trabajo" según el fundador de Basecamp David Heinemeier Hansson,...

Arrancar una PC desde un disco de vinilo es una locura posible

Los discos de vinilo ha resurgido como soporte físico para disfrutar de la música, pero parece que a alguien se le ha ocurrido ir...
a

Publicasciones relaciodadas