Qué es el secuestro de SIM y cómo puede afectar la seguridad de tus cuentas

Es un tipo de fraude que les permite a los atacantes acceder a toda la información que tiene una persona en su smartphone

Guardar
El hacker se vale de diferentes técnicas de ingenería social para obtener información confidencial que luego utilizará para engañar a la operadora de telefonía y pedir un duplicado de SIM (Foto: especial)
El hacker se vale de diferentes técnicas de ingenería social para obtener información confidencial que luego utilizará para engañar a la operadora de telefonía y pedir un duplicado de SIM (Foto: especial)

Se conoce como secuestro de SIM (SIM hijacking) a un tipo de fraude por medio del cual un criminal contaca a la empresa de telefonía móvil y se hace pasar por el titular de la cuenta para solicitar un duplicado de la tarjeta SIM. Llaman diciendo que perdieron o no encuentran la que tenían y que quieren una nueva SIM de su línea de teléfono.

Cuando esto ocurre, la tarjeta original queda desactivada, y la segunda SIM, en manos del criminal, queda operativa. ¿Cuál es el gran riesgo de esto? Si el titular de la línea tiene activado como segundo factor de autenticación el SMS, el delincuente comenzará a recibir todos los token vinculados a sus correos, redes sociales y hasta billeteras digitales en su celular.

De ese modo podría acceder a todos los perfiles y cuentas de la víctima lo cual podría derivar en robo de dinero e información. El usuario quedaría bloqueado de todas las cuentas vulneradas, desde Instagram o Gmail hasta las billeteras electrónicas. El perjuicio podría ser enorme.

Este tipo de ataque se conoce también como intercambio de SIM (SIM swapping) y requiere un trabajo de investigación previa por parte del criminal. Antes de llamar a la operadora de telefonía para solicitar un duplicado de la SIM, investigará las redes sociales y analizará la web para encontrar datos personales del usuario -DNI, domicilio, nombre completo suyo y de sus parientes, etc- que le servirán para validar su identidad cuando contacte a la operadora para solicitar una nueva SIM.

También es posible que por medio de diferentes técnicas de ingeniería social, el criminal obtenga esa información personal directamente por parte de la víctima. Se conoce como ingeniería social a la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

El secuestro de tarjetas SIM le puede servir al hacker para acceder a todas las cuentas que tengan como factor de doble autenticación el envío de SMS
El secuestro de tarjetas SIM le puede servir al hacker para acceder a todas las cuentas que tengan como factor de doble autenticación el envío de SMS

Esto se puede hacer de forma telefónica o a través de mensajes o mails donde el criminal se hace pasar por alguna entidad y le solicita al usuario que ofrezca sus datos o los ingrese en un formulario online para cumplir con algún supuesto requerimiento. Son miles las excusas de las cuales se puede valer el atacantes para obtener datos privados.

Y una vez que obtuvo esta información, también recurrirá su ingenio para engañar a la operadora de telefonía y lograr que le hagan entrega de una segunda SIM. En este punto cabe señalar que si la posibilidad de frenar estos ataques está directamente vinculado con los mecanismos de validación de identidad que ofrezcan las empresas de telefonía. Cuanto más rigurosos sean a la hora de corroborar que quien solicita la nueva SIM es quien dice ser, menos chances hay que de se orquesten estos engaños. El punto es que esos procesos pueden fallar.

Lo más aconsejable sería que las operadoras no realicen duplicaciones de la tarjeta a menos que la solicitud se realice de forma presencial en alguna sucursual y presentando el DNI. Estas son precauciones que algunas compañías toman pero no todas. Y en el contexto de pandemia, donde se instrumentaron medidas de aislamiento y cuarentenas no siempre fue posible instrumentar esa precaución.

Son varios los casos de usuarios, en diferentes partes del mundo, que han sido víctimas de este tipo de engaños. Uno de los casos más difundidos quizás sea el de Jack Dorsey, cofundador de Twitter, a quien el año pasado le robaron el acceso a su cuenta en esa red social empleando este tipo de método.

Hay que entender que en este caso el ataque no ocurre por una vulnerabilidad en el hardware o sistema operativo, sino por un trabajo de recolección de información, por medio de diferentes técnicas de ingeniería social por parte del criminal. Entonces, ¿qué hacer? Lo ideal es evitar, siempre que sea posible, emplear el SMS como segundo factor de autenticación.

A la hora de implementar este mecanismo, como usuarios deberíamos optar por otras opciones, como las aplicaciones de autenticación: Authy, Google Authenticator u Okta Verify, entre muchas otras.

Otra opción es emplear el celular (no el número sino el dispositivo) como llave de seguridad. También están las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que requiere el uso de llaves físicas y que incluyen la implementación del estándar FIDO2.

MÁS SOBRE ESTE TEMA:

Guardar