Cuando se habla de robo, lo normal es imaginar a una persona llevándose algo que no le pertenece a la fuerza. Pero y si te decimos que podrían robar el dinero que tienes en el banco sin que te enteraras y sin emplear ni un ápice de fuerza, ¿te parecería posible?
La fechoría es tan sencilla de perpetrar como real. Se trata del fraude telefónico denominado SIM swapping, una técnica que consiste en la duplicación de la tarjeta SIM del teléfono móvil de la víctima. El fin es tener acceso al número telefónico para usurpar la identidad del perjudicado para acceder a su cuenta del banco y robarle el dinero.
Al tener un clonado de la tarjeta SIM, los delincuentes podrán recibir los SMS con el código de confirmación necesario para acceder a la cuenta bancaria de la víctima. Estos SMS son un método de seguridad común cuando se realizan distintas operaciones bancarias como transferencias, solicitudes de préstamos o simples consultas de saldo.
SEÑALES
Si estás en una llamada y se corta repentinamente, si observas que la cobertura desaparece de forma intermitente hasta irse del todo, al igual que el acceso a Internet desde el terminal, puede ser un problema técnico, pero también puedes estar siendo víctima de SIM swapping.
Por ejemplo, desde la propia web de BBVA recomiendan que si observas estas señales o tras sufrir el robo directo del terminal «es importante hacer de inmediato la denuncia correspondiente».
HISTORIA DE TERROR
En las redes sociales son muchos los usuarios que cuentan su experiencia personal después de haber sufrido este fraude telefónico. La propia redactora de estas líneas fue víctima de una duplicación de tarjeta SIM que pudo ser cancelada a través de la compañía telefónica antes de que se realizara ninguna gestión bancaria fraudulenta, aunque no todos los casos tienen un final feliz.
Como mencionábamos anteriormente una de las señales más claras es la de la pérdida súbita de cobertura. A veces los delincuentes, conscientes de la importancia de trabajar a contrarreloj, tardan muy poco tiempo en acceder a la cuenta bancaria y vaciar lo que pueden e incluso, pedir un préstamo para llevarse ese dinero de más.
CIBERATAQUES PREVIOS
En muchas ocasiones, los delincuentes conocen varios datos personales de las víctimas antes de realizar el SIM swapping, que sería el paso final para llevarse el dinero. Por ejemplo, pueden conocer las contraseñas por phishing, un fraude informático con el que se consigue todo tipo de información.
Para conseguir estos datos existen principalmente dos técnicas, a través de spam, mandando correos, WhatsApp o SMS de forma masiva haciéndose pasar por distintos servicios o entidades para pedirnos directamente los datos. A veces estos mensajes pueden contener un link que si se pulsa, el terminal puede quedar comprometido por un programa oculto que rastree toda la información y la envíe a los delincuentes.
Otra de las técnicas consiste en una recreación bastante exacta de las webs reales de bancos. Solo que en estas réplicas, tras introducir los datos personales, en vez de mostrar el saldo lo roban.
PODER ANTES QUE DINERO
Esta técnica no sólo es utilizada para robar dinero. Duplicando la SIM se pueden recuperar los contactos y así acceder, por ejemplo, al WhatsApp de la víctima. Esto también es aplicable a las redes sociales como fue el caso de Jack Dorsey, cofundador de Twitter, que paradójicamente sufrió un hackeo en su cuenta de Twitter.
A finales del verano pasado, la cuenta de Dorsey empezó a publicar una serie de mensajes racistas mencionando un servidor en Discord, donde se pedía a la gente que se uniera y dejara comentarios. La clave para saber cómo habían conseguido acceder a la cuenta estaba en los propios tweets que revelaban desde que servicio se estaban escribiendo.
Se trataba de Cloudhopper, una compañía, aprobada como fuente con permisos para publicar en la red social, que permite publicar tweets a través de SMS y de la que es dueña Twitter. Para lograr tal hazaña delictiva, los autores habían duplicado la SIM de Dorsey y si fueron capaces de usurpar la identidad del cofundador de Twitter, hacerlo con la tuya les será pan comido.
CÓMO EVITARLO
Pedir un duplicado de la SIM es un procedimiento relativamente sencillo. Además, la autenticación o verificación en dos pasos es vulnerable a los ataques, como es el caso. Hay un porcentaje de responsabilidad que recae sobre las propias operadoras, al no ser más exigentes o escrupulosos a la hora de proporcionar duplicados de SIM. Pero como usuarios, también hay una serie de recomendaciones a tener en cuenta para evitar ser víctimas de este fraude.
En primer lugar, si se detecta una pérdida de cobertura en el terminal, consulta a tu operadora para saber el estado de la SIM y conocer si se solicitó un duplicado. Por supuesto no facilitar datos personales a través de SMS, llamadas telefónicas o correos electrónicos. Hay que desconfiar de cualquier persona o entidad que pregunte por los datos o las claves personales y también tener precaución con la información que puede aparecer en recibos o comprobantes. Lo mejor es destruirlos antes de desecharlos.
ALTERNATIVAS
Aunque muchas aplicaciones y servicios siguen utilizando el SMS como método de autenticación, existen algunas alternativas como Authy, Google Authenticator o Microsoft Authenticator. Estas aplicaciones se pueden instalar en el teléfono móvil y servir de alternativa a los mensajes de texto. Eso sí, la plataforma con la que queremos operar debe de ser compatible.
En un mundo cada vez más digital, es cuanto menos curioso que uno de los métodos más seguros sea una llave física. Las llaves U2F (Universal 2nd Factor keys), son una evolución de los sistemas de doble autenticación convencionales. Este sistema está basado en hardware por lo que a no ser que roben físicamente la llave, no podrán acceder a los servicios con los que esté configurada.
Funcionan conectándose al ordenador a través de un puerto USB. La primera vez que se utilice, el sistema creará un número aleatorio, a través del cual se generarán los distintos hashes (función criptográfica especial que es utilizada para generar identificadores únicos) que servirán para iniciar sesión en las plataformas con las se vincule la llave.
Gracias a este sistema, cada vez que se quiera iniciar sesión bastará con conectar la llave al ordenador. Ni SMS, ni correos electrónicos, ni contraseñas, nuestra seguridad a buen recaudo en el bolsillo.