SIM Swapping: custodia tus datos personales, no sólo tus contraseñas

25.02.2022 | Ernesto Macua, LISO (Local Information Security Officer) de Helvetia Seguros
Descubre en qué consiste esta peligrosa estafa que utilizan los ciberdelicuentes para clonar la sim de tu teléfono móvil y acceder a tu cuenta bancaria.

De todos es sabida la importancia de custodiar correctamente los usuarios y las contraseñas que utilizamos para acceder a nuestros dispositivos (móviles, ordenadores, tablets, etc.) así como a diferentes servicios online, que cada vez son más habituales para acceder a cuentas bancarias, operadores de telefonía, proveedores de suministros básicos…

La simple visita a una página web de pocas garantías puede hacer que nuestros usuarios y contraseñas, que muchas veces tenemos guardados en los propios navegadores web de nuestros dispositivos, caigan en manos de ciberdelincuentes que aprovechan esas vulnerabilidades para robar credenciales de nuestros dispositivos.

Los bancos han establecidos nuevos sistemas de seguridad para evitar los robos de credenciales mediante la firma de operaciones bancarias. De manera que, para poder realizar una transferencia de dinero es necesario disponer no sólo del usuario y de la contraseña del cliente, sino también de un segundo factor de autenticación, como puede ser el envío de un código secreto a un número de móvil vía sms. 

Este doble sistema de autentificación por vía sms parece seguro, ya que los ciberdelincuentes no sólo necesitarían robar nuestro usuario y contraseña, sino que además deberían tener acceso a nuestro móvil para hacerse con la segunda clave que permite la firma de la transferencia bancaria. Sin embargo, no debemos confiarnos, ya que en los últimos años ha aparecido una estafa muy peligrosa conocida como 'Sim swapping' o 'Robo de sim' con la que pueden acceder a nuestros datos bancarios. 

El método de esta estafa es muy sencillo. Primero los ciberdelincuentes aprovechan alguna vulnerabilidad en la red para conocer nuestros datos personales, incluyendo nuestro número de teléfono, y luego llaman a nuestro proveedor de telefonía para pedir un cambio de SIM, haciéndose pasar por el dueño de la línea, alegando la pérdida o la rotura de la tarjeta. El proveedor de telefonía para verificar la llamada simplemente le hará algunas preguntas básicas para verificar la identidad del cliente (DNI, nombre del titular, dirección...) y los ciberdelincuentes terminan apropiándose de la línea de móvil. 

Además, en muchas ocasiones los usuarios no se dan cuenta hasta pasadas unas horas de que su línea de móvil no funciona. De manera que, cuando contactan con el proveedor para solucionar el problema, los ciberdelicuentes ya han tenido tiempo suficiente para vaciarles su cuenta bancaria.

En 2021 el FB1 recibió 1611 denuncias por 'Sim swapping', cinco veces más que en el período comprendido entre 2018 y 2020. Y no sólo ha habido casos de robo de dinero o criptomonedas, hay casos muy famosos en que las que hubo suplantación de identidad por este método, como le ocurrió a Jack dorsey, cofundador y CEO de Twitter, cuya cuenta fue secuestrada y utilizada para la publicación de mensajes ofensivos y racistas.

 

Así podemos protegernos

Lo primero y lo más importante como norma general es que seleccionemos muy bien dónde compartimos nuestros datos personales. Y es que cualquier dato sin importancia aparente puede aportar mucha información que puede ser aprovechada en nuestra contra. Así que no debemos introducir nuestros datos en webs que no sean seguras ni facilitar nuestros usuarios y contraseñas a terceros.  

Y un clásico, pero no por ello menos importante, debemos mantener nuestros dispositivos y antivirus permanentemente actualizados, evitar acceder a páginas web desconocidas y la instalación de programas (muchas veces gratuitos) provenientes de sitios de poca confianza.

Por otro lado, los bancos ya están implantando sistemas de autenticación en dos pasos que no se basan en el envío de sms, sino en aplicaciones de autenticación como Microsoft Authenticator o Google Authenticator, mucho más seguras que los simples sms. Incluso están apareciendo estándares en la industria aún más interesantes que las aplicaciones de autenticación, como son las llaves U2F (Universal 2nd Factor Keys), un estándar abierto de autenticación que hace uso de llaves físicas, como el FIDO2.

Con estos nuevos sistemas de doble autentificación nuestros datos estarán más seguros y los ciberdelicuentes lo tendrán más complicado para acceder a ellos.