Autoridades de Estados Unidos alertan sobre el crecimiento de los ataques de SIM swapping, el fraude mediante el cual estafadores utilizan la ingeniería social para hacerse pasar por clientes legítimos ante representantes de atención al cliente de compañías telefónicas y obtener una nueva tarjeta SIM con la línea telefónica de los usuarios. Una vez que los criminales se quedan con la línea, teniendo en cuenta que las llamadas y mensajes ahora están bajo el control de los criminales, utilizan información adicional de las víctimas, como la dirección de correo, documentos de identidad u otra información, para solicitar una nueva contraseña para acceder a sus cuentas bancarias y otros servicios online y recibir en su línea el código de verificación de un solo uso que llega a través de SMS. De esta manera, obtienen acceso a cuentas para robar su dinero y otros datos personales.
Lectura recomendada: SIM swapping: qué es y cómo funciona este fraude
Tal como señala el FBI, si bien esta modalidad de fraude no es nueva, las denuncias de víctimas del SIM swapping aumentaron considerablemente en el último año. Durante el 2021 en Estados Unidos se recibieron 1.611 denuncias de victimas que manifestaron haber sufrido el robo de dinero como consecuencia del secuestro de sus líneas telefónicas y las pérdidas alcanzaron una cifra cercana a los 68 millones de dólares. Para tomar dimensión de este crecimiento, entre enero de 2018 y diciembre de 2020 las denuncias por esta modalidad de fraude habían sido 320 y representaron pérdidas por 12 millones de dólares.
El fraude del SIM swapping se da a nivel global. En España, por ejemplo, la semana pasada la Policía Nacional confirmó el arresto de al menos ocho personas que integraban una organización criminal que clonaba tarjetas SIM haciéndose pasar por clientes legítimos ante las compañías telefónicas utilizando incluso documentos falsificados.
Según explicaron las autoridades españolas, esta organización utilizaban técnicas como el phishing y el smishing (vía SMS) para suplantar la identidad de una persona o empresa de confianza para obtener así información de la víctima, como contraseña, datos de la tarjeta de crédito o copias del documento de identidad. Luego, con esta información se comunicaban con la compañía telefónica haciéndose pasar por usuarios legítimos y de esta manera obtener una nueva tarjeta SIM con el mismo número de teléfono.
La primera señal que identifican las víctimas de SIM swapping es la pérdida de señal de la red en sus equipos. Esto se debe a que una vez que los criminales activan la nueva tarjeta SIM en un nuevo dispositivo automáticamente se desactiva la línea.
En América Latina esta problemática también existe. En Argentina, en 2021 y lo que va de 2020, se han reportado varios casos de víctimas que dicen haber sufrido el robo de dinero como consecuencia de la clonación del chip. El mes pasado, por ejemplo, una persona perdió el dinero que habían depositado en su cuenta bancaria tras acceder a un crédito Procrear. En noviembre 2021 se conoció otro caso en el cual los criminales robaron los accesos a WhatsApp y redes sociales como Instagram y Facebook.
Evidentemente, los mecanismos de validación de identidad de las compañías telefónicas son un tanto pobres y esa es probablemente una de razones más importantes para entender el crecimiento y la vigencia de esta modalidad de fraude.
Lo fácil que puede ser para un atacante realizar un ataque de SIM swapping
En 2021 el especialista de ESET, Jake Moore, realizó un experimento que le permitió corroborar lo fácil que puede llegar ser para un atacante llevar adelante un ataque de SIM swapping. Con el consentimiento de un amigo que le permitió realizar esta prueba, Jake recolectó de Facebook e Instagram información pública de esta persona, por ejemplo, su fecha de cumpleaños y la de su hijo o la compañía telefónica con la que operaba.
Luego, se contactó con la empresa de telecomunicaciones haciéndose pasar por su amigo e inventó una historia en la que habían robado su teléfono. Entonces solicitó anular la tarjeta SIM y pasar su línea a una nueva tarjeta SIM que ya tenía en su poder. Entonces brindó su número telefónico para luego pasar por una instancia de validación de su identidad que consistía en proporcionar un código PIN de dos dígitos previamente acordado. Primero dijo 11, que son los números finales del año en el que nació su hijo, pero la información era incorrecta. El agente de atención al cliente le dio otra oportunidad y entonces probó con los dos últimos números del año en que nació su amigo y ¡voilá! Acertó.
Como parte del experimento, una vez que corroboró que tenía el control de la línea de su amigo, sabiendo qué servicio de hosting utilizaba para el sitio web de su empresa (utilizaba una plataforma muy conocida para crear sitios web) y conociendo su dirección de correo electrónico, decidió ver qué pasaba si hacía clic en la opción “olvidaste tu contraseña”. Lo que ocurrió es que recibió vía SMS a su teléfono el código verificación que le permitía recuperar el acceso a la cuenta y luego creó una nueva contraseña, tomando el control del sitio. Como explica el especialista, esto le permitía realizar otras acciones maliciosas, pero como parte de la prueba era suficiente para demostrar las consecuencias de este tipo de ataque y lo fácil que puede resultar para los atacantes.
Cómo protegerse de los ataques de SIM Swapping
Según explica el Moore, hay dos puntos clave a tener en cuenta para proteger las cuentas en caso de un ataque de clonación de chip. La primera es no utilizar como código PIN o código de verificación una fecha o un número que alguien pueda asociar a usted. La segunda es intentar en la medida de lo posible, evitar la autenticación en dos pasos mediante SMS y en su lugar utilizar opciones como una app de autenticación o una clave de seguridad física.