SIM swapping: qué es y cómo funciona este fraude

Si nos detenemos a pensar con qué llenamos el espacio de almacenamiento de nuestro smartphone y qué información nos daría más miedo perder, muchos usuarios seguramente antepongan sus aplicaciones de redes sociales a otras cosas. Sin embargo, no todos tienen presente que en nuestro teléfono móvil existe algo que puede ser de mucho interés para los delincuentes y que puede convertir un robo de datos y una suplantación de identidad en un robo de dinero desde nuestra cuenta bancaria o billetera de criptomonedas.

Fases del SIM swapping

Debemos tener en cuenta que esta técnica no es consecuencia de un fallo de seguridad en nuestros dispositivos, sino en la falta de implementación de protocolos de verificación estrictos a la hora solicitar una copia de nuestra tarjeta SIM. Además, esta técnica se usa conjuntamente con otras de ingeniería social para poder obtener beneficios, ya que lo que buscan los delincuentes en este caso es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles.

En una primera fase, los delincuentes tratan de obtener las credenciales del usuario; normalmente aquellas relacionadas con la banca online para maximizar el beneficio económico, aunque, como veremos más adelante, este no es el único objetivo. El robo de credenciales suele realizarse mediante técnicas de ingeniería social tradicionales, como puede ser, por ejemplo, usando webs fraudulentas a las que se redirige al usuario desde un enlace enviado un correo electrónico o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria.

Una vez conseguidas las credenciales, los delincuentes tratan de obtener un clonado de la SIM de la víctima para así poder recibir los códigos de verificación por SMS (doble factor de autenticación). Para eso, los cibercriminales se aprovechan de las pobres medidas de verificación de la identidad que suelen solicitar algunos operadores. Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta. Muchas veces ocurre que los usuarios se dan cuenta qué existe algún problema cuando dejan de tener señal en su teléfono.

No es raro ver que a los delincuentes no les ponen demasiadas barreras a la hora de obtener este duplicado de la SIM y esto es un serio problema. Una vez conseguido este duplicado, los delincuentes pueden entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación no tendrán problema, puesto que reciben los mensajes con el doble factor de autenticación (2FA) en la SIM clonada.

Otros ataques derivados del SIM Swapping

Los delincuentes no solo buscan acceder a las cuentas bancarias de sus víctimas. Otros activos valiosos incluyen billeteras de criptomonedas o cuentas de servicios online como; por ejemplo, los de Google.

En este último caso, si los cibercriminales han conseguido las credenciales de la víctima, pueden llegar a saltarse el 2FA solicitando un código de un solo uso enviado por SMS. Una vez que han accedido a la cuenta, pueden tener el control de nuestra cuenta de correo, contactos, etc.

Lo mismo podemos decir de los accesos a otros servicios, como Facebook, Instagram, Tik Tok o similares; algo que puede arruinar la reputación online de la víctima y que los delincuentes aprovechan para chantajearla. Podrían, por poner un ejemplo, obtener fotos y conversaciones comprometedoras y amenazar con hacerlas públicas a menos que se acepte el pago de una cantidad.

Tampoco debemos olvidarnos de otras aplicaciones que solemos usar para realizar transferencias y que permiten también almacenar dinero. Un claro ejemplo sería PayPal, que también incorpora un 2FA en forma de mensaje SMS y que, en caso de que los delincuentes consiguieran las credenciales de acceso y un clonado de la SIM, podrían no solo retirar los fondos guardados, sino también hacerse pasar por nosotros para solicitar dinero a nuestros contactos.

Haciendo frente al SIM swapping

Para luchar contra esta amenaza haría falta un replanteamiento total del procedimiento de verificación de identidad que aún realizan muchas entidades bancarias y servicios online. Por desgracia, no siempre es posible utilizar el método de 2FA que deseamos utilizar y esto nos obliga a tomar medidas más drásticas. Una de estas medidas sería contactar con nuestra operadora y asegurarnos de que no se va a realizar ningún clonado de nuestra tarjeta a menos que lo solicitemos presencialmente en alguna tienda u oficina con un documento que nos identifique.

En todo caso, para que esta medida funcione, la operadora deberá ser capaz de cumplir a rajatabla nuestras exigencias, lo cual es bastante difícil en algunos casos. Por si fuera poco, se ha sabido de casos en los que los delincuentes contaban con la colaboración de empleados de la operadora móvil, haciendo más difícil bloquear esta mala práctica.

Por suerte, las fuerzas y cuerpos de seguridad son conocedoras de esta técnica y vemos como cada cierto tiempo desmantelan alguna banda dedicada a este tipo de delito. Una de las operaciones más recientes tuvo lugar a finales de la semana pasada en España por parte de la Guardia Civil, y consiguió arrestar a doce personas de diferentes nacionalidades que habrían obtenido más de tres millones de euros de beneficio.

Quizás te interese:

• Doble factor de autenticación: ¿qué es y por qué lo necesito?
• Doble factor de autenticación: la solución más efectiva para prevenir el secuestro de cuentas
• El 99,9% de las cuentas vulneradas no utilizan doble factor de autenticación