Los métodos de ciberdelincuencia cada vez son más sofisticados, dejando atrás el típico caso de phishing que trata de acceder a tu dispositivo móvil. Esto se debe también a la evolución de los dispositivos móviles sobre los que hemos depositado numerosas responsabilidades como gestionar la cuenta bancaría o comunicarse con otras personas. Ahora poco a poco están siendo víctimas de una nueva práctica de ciberdelincuencia: el SIM swapping.
Esta práctica se centra principalmente en la debilidad que pueden llegar a tener los mensajes de texto que contienen los códigos de autentificación de doble factor. Aunque se vende que protege tu cuenta al máximo, lo cierto es que si una persona consigue tener acceso a estos SMS terminará teniendo acceso a tu vida. Y aunque parezca mentira, SIM Swapping permite acceder a tus SMS y este "ataque" lo comenzarás cuando dejes de tener cobertura.
Todos los pasos que se hacen en el SIM Swapping
En el caso de este método, hay que destacar que se hace una combinación de diferentes clases de ciberdelincuencia así como de ingeniería social. Lo primero que se debe tener en cuenta es que tu tarjeta SIM es realmente importante porque como hemos comentado anteriormente con ella te llegan decenas de SMS al mes con códigos de verificación para acceder a tus cuentas bancarias o autorizar un pago. Es por ello que si tienen tu tarjeta SIM un ciberdelincuente te va a poder hacer esto. Y aunque parezca increíble en España ya ha habido casos de robos con SIM Swapping.
La gran pregunta que se te puede venir a la mente es cómo te pueden robar la tarjeta SIM. A priori siempre está dentro del dispositivo móvil y no parece algo complicado. Pero el verdadero robo lo realizan a través de tu compañía telefónica. Lo primero que debe hacer un estafador que opta por este sistema es obtener tu información personal como nombre, DNI, fecha de nacimiento o cuenta bancaria.
Actualmente, esto es algo fácil de conseguir, sobre todo entre las personas más mayores, a través del clásico phishing. Enviar un mensaje de texto con un enlace en el que se pide esta información para desbloquear una supuesta cuenta o para participar en un jugoso sorteo. También se consigue a través de llamadas telefónicas en las que se hace uso de ingeniería social para extraer toda la información personal.
Una vez se cuenta con el perfil de la víctima al completo, es hora de contactar con su compañía telefónica detectando aquí un grave problema de seguridad. Simplemente con los datos personales del contrato se puede solicitar por teléfono un duplicado de la tarjeta SIM que te llegue a una dirección diferente. A partir de ese momento la víctima quedará sin cobertura y el atacante recibirá una SIM con su PIN para poder suplantar su identidad.
Según los datos que ofrecen las autoridades, lo primero que hacen los delincuentes con estas tarjetas SIM es recuperar las claves de las cuentas bancarias para acceder a los datos de las tarjetas y hacer compras con ellas. Igualmente, también se pueden recuperar las claves de las redes sociales. Al final en la tarjeta SIM hay un gran poder en sus SMS, aunque hayan quedado en las mentes de muchas personas en un segundo plano.
En el caso de España con estos métodos se han realizado fraudes de por ejemplo 72.000 euros por parte de un residente en Melilla que hacía estas compras y colocaba una dirección de entrega diferente a la suya. Aunque esto es algo que también se ha visto con una persona en Puerto de Mazarrón que estafó 20.000 euros.
Evitar ser víctima del SIM Swapping
Hemos podido que el SIM Swapping se basa en dos etapas diferenciadas. Una primera centrada en la extracción de los datos personales a través de ingeniería social, y una segunda en la que se hace uso de la información para desarrollar la estafa como tal.
En el caso de que quieras totalmente protegido ante estos ataques de SIM Swapping, es importante tener un buen sentido común como hemos repetido en innumerables ocasiones. Esto quiere decir que pienses muy bien si tiene sentido que un banco te pida tus claves a través de un WhatsApp o si un sorteo que te ha llegado a través de Facebook no tiene ningún tipo de sentido. Igualmente, las recomendaciones a seguir son las siguientes:
- No ofrezcas tus datos personales a nadie a través de las llamadas telefónicas que recibas. Lo más común es que te ofrezcan un gran descuento en una eléctrica o en una operadora.
- Aprende a evitar el phishing en los SMS o el correo electrónico, leyendo muy bien las URL y pensando si tiene sentido la información que te están pidiendo.
- Evita introducir tus datos personales mientras estás conectado a una red Wifi pública.
- No descargues aplicaciones de poca confianza.
- Bloquea el acceso a tus datos personales en redes sociales a todo aquel que no sea tu contacto. En este caso se pueden encontrar muchos datos para hacer tu perfil.
Todas estas recomendaciones se suman a la necesidad de investigar y consultar cualquier problema que tengas en la red. No sientas que es algo común el hecho de perder completamente la cobertura de tu dispositivo móvil, en una zona donde siempre la has tenido y otras personas no presentan ese problema. Lo primero de todo es contactar con la operadora para poder determinar si se ha solicitado un duplicado y tu tarjeta SIM ha quedado en poder de otra persona.
Lo segundo a tener en cuenta es denunciar ante las autoridades cualquier tipo de actividad fraudulenta que hayas podido detectar para iniciar las correspondientes investigaciones. Una vez aquí, serán ellos los que te recomendarán cancelar tarjetas, cambiar claves de la banca online e incluso cambiar de número de teléfono.
Este tipo de prácticas está ahora mismo en auge y deja ver la escasa seguridad que tienen las operadoras a la hora de realizar algunos trámites de relevancia. En este caso se debe pensar de nuevo los sistemas de comprobación de la identidad, más allá de decir por teléfono el nombre, el DNI o el teléfono de contacto. Sin ir más lejos la propia administración pública ha puesto un sistema de identificación en el que se obliga a mostrar ante cámara el DNI junto a la persona titular. De esta manera se puede verificar la identidad de una forma rápida.
Ver 3 comentarios