¿Qué tan fácil es realizar un ataque de SIM Swapping y qué puede hacer el atacante una vez que haya tomado el control de tu número de teléfono? Lamentablemente, es preocupantemente sencillo y los criminales pueden hacer muchas cosas una vez que consiguen clonar tu tarjeta SIM.

Escuchamos hablar de SIM Swapping y estafas de secuestro de SIM todo el tiempo. Sin embargo, muchas personas piensan que esto nunca les puede pasar. De hecho, la gente a menudo me dice que nunca serán víctimas de un ataque informático y que incluso se preguntan por qué alguien los atacaría. Pero lo cierto es que formamos parte del bolillero para muchos actores maliciosos y ellos continuarán realizando sus campañas intentando sacar provecho de cualquier oportunidad que se presente. Entonces, ¿por qué no tomar algunos recaudos para reducir los riesgo?

Volveré a lo que puede hacer una persona para mitigar los riesgos más adelante, ya que primero quiero compartir cómo probé realizar un ataque de SIM swapping con el único propósito de generar conversación sobre el tema y de esta manera ayudar a las personas a comprender los riesgos. Una historia de la vida real siempre es más efectiva para intentar ayudar a las personas a tener más conciencia cibernética. De hecho, realicé un experimento similar el año pasado cuando mostré lo fácil que podría ser tomar el control de una cuenta de WhatsApp de cualquier persona conociendo su número de teléfono. Fue una lección muy valiosa para el colega convertido en víctima.

Conozco a mi amigo, llamémosle Paul, desde la escuela y hemos sido amigos cercanos desde entonces. Le pregunté recientemente si podía intentar realizar una prueba por el bien común y usar cualquier cosa que tenga que ver con él con el objetivo de intentar generar conciencia cibernética y ayudar a que más personas puedan protegerse de este tipo de futuros ataques. Estaba contento de participar e incluso pensó que formar parte del experimento podría ser divertido.

Cómo funciona un ataque de SIM Swapping

Si bien ya desarrollamos en este artículo qué es un ataque de SIM Swapping, explicaré de qué se trata narrando qué fue lo que hice en esta prueba:

Todo lo que necesitaba para realizar la prueba era el nombre real y el número de teléfono de Paul. Paul es dueño de una agencia inmobiliaria que vende propiedades de lujo en una de las ubicaciones más caras del Reino Unido. Al igual que sucede con muchas otras personas, sus datos de contacto se pueden encontrar en su sitio web, y además mediante una buena investigación en Internet a la antigua (o inteligencia de código abierto, también conocida como OSINT) se pude encontrar mucho más.

Actuando como un verdadero actor de amenazas, registré cualquier información sobre él que pudiera encontrar en Internet, como lo haría un tercero, sin enviar ninguna solicitud de amistad o para seguirlo en sus redes sociales. Aunque algunos malos actores podrían, de hecho, solicitar una conexión con sus objetivos, pensé que este experimento sería mejor si mantenía mi distancia, ya que de hecho sé mucho sobre él.

No tardé en encontrar una gran cantidad de información sobre él, especialmente a través de su feed público en Instagram y en sus publicaciones abiertas en Facebook. Quise localizar fechas y números que significaran algo para él, así que busqué cumpleaños y cualquier otra cosa que pareciera de interés cronológico. Pronto encontré las fechas de nacimiento tanto de Paul como de su hijo; solo necesitaba mirar varias publicaciones públicas que hizo en sus redes sociales antes, durante y después de sus cumpleaños. No hizo falta ser un genio para determinar los días exactos en que nació cada uno, así que anoté estas fechas de interés y pasé a la siguiente parte del experimento.

La mayoría de la gente en el Reino Unido utiliza solo sola compañía de telecomunicaciones de las que hay disponibles. Para mi fortuna, encontré con qué empresa estaba operando mi amigo con la primera empresa por la cual decidí comenzar a buscar. Después de revisar el sistema y contactar a un agente que fue de mucha ayuda, le dije que era Paul y le di su número de teléfono correspondiente. Luego, tuve que pasar por un mecanismo de seguridad. Para la mayoría de estas empresas de telecomunicaciones, seguridad es demostrar quién eres dando un código PIN de dos dígitos previamente acordado. Habrá muchas personas que memorizarán los números PIN de sus tarjetas de crédito o el código para desbloquear su teléfono, pero esto se debe en gran parte a la memoria muscular y a la necesidad de utilizar activamente estos códigos.

Sin embargo, dudo que muchas personas necesiten iniciar sesión con el proveedor de telefonía con tanta frecuencia para haber memorizar este código. Por lo tanto, las personas caen en la trampa 1: usar un PIN que sea relevante y fácil de recordar para ellos mismos, como una fecha de nacimiento.

Y esto fue exactamente lo que me sirvió en mi experimento. No sé cuántos intentos son permitidos para dar con los dígitos correctos, pero lo cierto es que es más de uno. Basta decir, entonces, que como parte del proceso de verificación primero dije “1” y “1” (el hijo de Paul nació en 2011). Estuvo mal, pero amablemente la agente me dio otra oportunidad y esta vez elegí “8” y “2” (Paul nació en 1982), a lo que su respuesta fue que pasé la instancia de seguridad. Luego, me pidió que describa mi problema con el mayor detalle posible.

Di un relato detallado y angustiado de cómo me habían robado el teléfono, y manifesté que era vital que se anulara la tarjeta SIM y que quería cambiarla por una nueva que había comprado. Tenía una nueva tarjeta SIM en la mano lista para colocar en un teléfono de repuesto. Le di a la agente el nuevo número SIM y ella dijo que mi número sería transferido en unas pocas horas.

A esta altura, todo lo que Paul habría notado es que su señal de red se habría interrumpido y no habría recibido ningún mensaje de texto en su teléfono. Aún habría podido acceder a Internet si hubiera estado conectado a Wi-Fi, que en realidad lo estaba, ya que estaba en la oficina cuando llamé a su proveedor de telefonía móvil.

Dos horas después de encender y apagar mi teléfono de repuesto varias veces, se me concedió acceso completo al número de Paul. Lo probé haciendo sonar mi teléfono llamando desde mi teléfono de repuesto con la nueva SIM y, tal como me había dicho la agente, la nueva SIM ahora actuaba como el número de Paul, ya que su nombre apareció en mi teléfono cuando sonó. Aquí es donde realmente puede comenzar el peligro.

Las consecuencias de un ataque de SIM Swapping

Sabía que era solo cuestión de tiempo antes de que Paul se diera cuenta de que algo estaba pasando, así que fui a su sitio web y me fijé qué hosting que usaba. Era el de un creador de sitios web popular. Pude usar su dirección de correo electrónico contra la opción "olvidaste tu contraseña " (el botón favorito de un cibercriminal) para enviar mi solicitud y ver qué pasaba.

Como tiene un conocimiento moderado de los ataques cibernéticos, Paul tenía configurada la autenticación de dos pasos (2FA), también conocida como doble factor de autenticación, pero para mi alegría, solo a través de SMS (trampa 2). Hice clic en las páginas correspondientes y en unos segundos recibí un código enviado por SMS a mi teléfono de repuesto. Ingresé este código en el sitio web y listo, tuve la oportunidad de cambiar la contraseña.

Podría haber continuado llevando adelante acciones maliciosas similares en sus redes sociales y correo electrónico basado en la web, pero pensé que había dejado claro mi punto y decidí terminar con la prueba. Sin embargo, mientras estuve allí, pensé que sería divertido colocar en la página principal del sitio una enorme foto de ficha policial de mí con una sonrisa, lo que resultó en una charla interesante cuando lo llamé a su teléfono fijo para decirle que su sitio web actualizado se veía genial en este momento. No hace falta decir que estaba atónito con lo que vio, pero estaba más impresionado por la rapidez con que había tomado el control de su activo más valioso.

Cómo protegerse de un ataque de secuestro de SIM

Cualquiera que lea esto ahora se estará preguntando cómo pueden proteger sus cuentas. Hay dos formas principales de impedir los ataques de intercambio de SIM:

  • Nunca use nada vinculado a usted como parte de sus códigos PIN o contraseñas.
  • Siempre que sea posible, reemplace el doble factor de autenticación basado en SMS por el de una app de autenticación o por una clave de seguridad física.

Esto me habría impedido acceder a la cuenta de teléfono móvil de Paul, pero lo que es más importante, me habría impedido cambiar sus contraseñas. Una vez que los teléfonos son robados, los ciberdelincuentes pueden bloquear fácilmente a los titulares genuinos de sus cuentas y recuperar el control sobre ellas puede ser extremadamente difícil o incluso imposible. Las consecuencias pueden ser particularmente graves si hablamos de cuentas bancarias, de correo electrónico y de redes sociales.

En cuanto a Paul, le di nuevamente acceso a su SIM y sitio web, lo ayudé a configurar una aplicación de autenticación y cambió el código PIN de su proveedor de telefonía móvil. También lo ayudé a recordar este código enseñándole las formas que existen de administrar contraseñas. Igual de importante, le recomendé que dejara de compartir información personal confidencial en las redes sociales y que limitara la cantidad de personas que pueden ver sus publicaciones u otro material allí.