Recientemente, han ocurrido en nuestro país nuevos casos de robo o “clonación” de números telefónicos, mediante lo cual los atacantes logran posteriormente apoderarse de cuentas digitales (correo electrónico, redes sociales, etc.).
Esta técnica se conoce como SIM Swapping. Pero cómo funciona este tipo de ataques? Es frecuente que través de nuestro móvil podemos obtener códigos de verificación para entrar en ciertas plataformas, como un mecanismo de verificación adicional. No es algo exclusivo de realizar pagos, sino que se extiende a poder entrar en redes sociales, por ejemplo. Es lo que conocemos como autenticación de dos factores.
Pero, ¿Qué pasa si alguien tiene acceso a nuestra SIM, obtiene nuestro número telefónico?
Lógicamente si alguien tuviera el control sobre nuestro número, podría simplemente darle a recordar contraseña y que la envíen por SMS (hay plataformas que lo utilizan como medida en caso de olvido). Además, podría leer los SMS que nos llegan, registrar Whatsapp con nuestro número y leer los mensajes que lleguen, recibir las llamadas que nos lleguen a nuestro número, y enviar mensajes y realizar llamadas desde nuestro número. Un problema gravísimo y que podría poner en riesgo nuestra seguridad y privacidad.
Una persona malintencionada, que previamente ha recopilado información sobre una víctima, contacta a la compañía telefónica y se hace pasar por ésta. Si logra engañar y hacer creer a la telefónica que está hablando con el titular de la línea, le convence de bloquear la línea. Cómo lo logra? Depende de la creatividad del atacante. Un engaño creíble, por ejemplo, es reportar que fue víctima de un robo de teléfono y que por ello le está llamando de otro número y que necesita que se bloquee su número de manera urgente. Luego, a través de engaños nuevamente, y haciéndose pasar por la víctima, logra solicitar y conseguir un duplicado de la tarjeta SIM, con el número de la víctima. Esto se conoce como SIM Swapping.
De esta manera, el atacante se encuentra en posesión del número de la víctima, y puede acceder a las cuentas y plataformas digitales que estén vinculadas a dicho número telefónico.
Los ataques de SIM Swapping no son nuevos…
…ya que es un problema presente desde hace mucho tiempo. Sin embargo en los últimos tiempos ha habido un repunte relacionado con este problema. Un caso sonado reciente fue el hackeo de la cuenta de Twitter del CEO de Twitter, mediante esta técnica.
Se trata de un tipo de ataque especialmente peligroso ya que, como se trata de una técnica que se basa en el engaño de los procesos manuales o humanos de las compañías telefónicas, los usuarios pueden hacer muy poco para protegerse, y tampoco hay una solución tecnológica que pueda protegernos.
Algunas recomendaciones deben tenerse en cuenta para minimizar el riesgo y/o reducir el impacto de esta técnica:
- En un ataque de SIM Swapping, al momento del bloqueo y emisión del nuevo SIM, la víctima notará que se quedará sin servicio telefónico. Ante este indicio, se debe actuar rápidamente, contactando de inmediato a la compañía telefónica para verificar qué pasó.
- Cuando utilizamos la autenticación de doble factor, preferir utilizar una aplicación de generación de códigos (como Google Authenticator, por ejemplo), en vez del envío de SMS o llamadas. Esto, si bien podría reducir el riesgo de acceso a las cuentas vinculadas en algunos casos, no evita todos los problemas, ya que los SMS y llamadas igualmente serán recibidos por el atacante, y algunas plataformas igualmente permiten SMS como mecanismo de verificación secundario, siendo la vinculación con un número telefónico obligatorio (y recomendable) en muchos casos.
- Ante la duda o indicios de un ataque de SIM Swapping, desvincular inmediatamente todas las cuentas del número de teléfono, vinculandolo a otro número que no esté comprometido, aunque sea de manera temporal. Como se trata de un ataque manual, desde el momento que el atacante solicitó el bloqueo y logró la reimpresión, suele haber un lapso de varios minutos o incluso horas, durante las cuales podemos actuar.
- Las compañías telefónicas deben robustecer los controles durante los procesos de bloqueo y re-impresión de SIM, asegurándose fehacientemente que quien está reportando o solicitándolo es efectivamente el titular. Para ello se debe considerar qué tipo de información o datos personales son fáciles de adivinar, descubrir o suplantar.