Los ciberdelincuentes continúan innovando en tácticas para eludir las medidas de seguridad de doble factor, que requieren acceder al móvil de la víctima para autorizar operaciones como transferencias desde su cuenta bancaria. Para ello, aprovechan los datos personales obtenidos en fugas de información causadas por ataques de ransomware a diversas empresas y entidades oficiales. De esta manera, les resulta relativamente sencillo asumir la identidad de la víctima y solicitar una copia de su tarjeta SIM, técnica conocida como «SIM swapping«.
Aunque las operadoras han fortalecido sus controles para reducir este tipo de fraude debido a las sanciones impuestas por las autoridades de protección de datos, los criminales buscan alternativas para acceder a las comunicaciones del usuario. Este tipo de fraude le costó caro a Digi, a quienes la Agencia Española de Protección de Datos impuso una sanción de 70.000 euros por no verificar la identidad de un cliente en la entrega de una tarjeta SIM duplicada en una de sus tiendas. Mediante este clonado fraudulento de tarjeta, los criminales lograron sustraer dinero de sus cuentas bancarias.
¿Cómo funciona un ataque de SIM Swapping?
Una vez que el ladrón tiene tu número de teléfono, robar tu identidad se vuelve relativamente sencillo, ya que actualmente el número está, en la mayoría de los casos, vinculado a tus cuentas bancarias, correos electrónicos y redes sociales. Con tu número en su poder, los estafadores pueden intentar acceder a estas cuentas y recibirán en su móvil los códigos de confirmación de un solo uso, también conocidos como OTP (One Time Passwords) o segundo factor de autenticación, que habitualmente se envían por mensaje de texto a tu dispositivo. Una vez dentro, pueden vaciar tus cuentas bancarias, obtener préstamos a tu nombre e incluso estafar a tus amigos y familiares al acceder a tu lista de contactos.
¿Es tan fácil es que roben mi número de teléfono?
Los investigadores de Princeton probaron cinco de los principales proveedores de telefonía en EE. UU. para evaluar la facilidad de llevar a cabo una estafa de intercambio de SIM. Alarmantemente, tuvieron éxito en 39 intercambios de SIM falsos de 50 intentos. Esto indica que si alguien tiene en la mira tu número de teléfono, las probabilidades de convertirte en víctima no están a tu favor.
¿Cuáles son las señales de advertencia de un fraude de SIM Swapping?
Si observas alguna de estas señales, debes comunicarte inmediatamente con tu proveedor de telefonía:
- Bloqueo en tu cuenta de telefonía. Si repentinamente te encuentras bloqueado en tu cuenta de servicio telefónico en línea, puede ser debido a un cambio de tarjeta SIM. Contacta a tu proveedor de inmediato.
- Falta de servicio a pesar de tener buena recepción. Si pierdes el servicio o no puedes recibir llamadas o mensajes de texto cuando la señal es buena, es hora de notificar a tu proveedor.
- Notificaciones de actividad en tu servicio telefónico que no reconoces. Mantente alerta ante notificaciones de actividades sospechosas. Los proveedores de telefonía suelen notificar cuando algo inusual sucede en tu cuenta.
Si sospechas que eres víctima de un fraude de intercambio de SIM, llama a tu operador de telefonía móvil e informa que no has realizado cambios en tu cuenta. Ellos, una vez comprueben tu identidad, bloquearán el número inmediatamente. También es importante que te pongas en contacto con tu banco para verificar cualquier transacción sospechosa. Muchos bancos ofrecen servicios, de pago habitualmente mediante suscripción, de avisos automatizados o monitorización en tiempo real sobre los movimientos bancarios, lo cual facilitaría una detección temprana de cualquier movimiento anómalo en la cuenta bancaria.
¿Cómo evitar el SIM Swapping? Toma estas precauciones adicionales para evitar ser víctima de este tipo de fraude:
- Limita la cantidad de información personal que compartes en línea. Los estafadores pueden usar pequeños detalles para hacerse pasar por ti ante tu proveedor. Evita publicar en lugares públicos tu nombre completo, dirección, número de teléfono y fecha de nacimiento, y no compartas demasiados detalles personales en redes sociales.
- No caigas en fraudes de correos electrónicos (phishing), mensajes de texto (smishing) o llamadas de vishing. Los mensajes de phishing son la forma más habitual mediante la cual los ciberdelincuentes obtienen información confidencial. No respondas a solicitudes sospechosas de información personal y comunícate directamente con la institución involucrada.
- Utiliza contraseñas seguras y preguntas de seguridad. Protege tu cuenta de telefonía móvil y todas tus cuentas en línea con contraseñas fuertes de al menos 12 caracteres, y utiliza preguntas de seguridad difíciles de adivinar incluso para conocidos cercanos.
- Usa la autenticación Face/Touch ID cuando sea posible como factor adicional. Utiliza aplicaciones móviles que admitan biometría de dos factores, como el reconocimiento facial o de huellas dactilares, para mayor seguridad. Incluso si alguien tiene tu número de teléfono, no podrá duplicar tu información biométrica.
- NO facilites nunca tu DNI o una imagen de este a alguien del que no tengas la absoluta certeza de que jamás hará un uso fraudulento de él. Los ciberdelincuentes pueden usar técnicas de ingeniería social para persuadirte y que les facilites una copia de tu DNI. Con esta copia será mucho más sencillo que puedan suplantar tu identidad cuando se pongan en contacto con tu compañía u operador de móvil para realizar una copia de tu tarjeta SIM.
Tomar estas precauciones te ayudará a proteger tu número de teléfono y evitar ser víctima de estafas de SIM Swapping. También es fundamental que, tanto las compañías como cualquier otra empresa, tengan una estrategia constante de concienciación para sus empleados, como la que ofrece Kymatio®, con el fin de ayudarlos a identificar este y otros muchos ataques.