¿Sabías que los ciberdelincuentes pueden robar tu número de celular sin tener tu dispositivo y con ello tener acceso a tus datos personales y bancarios? Esto lo hacen a través de la duplicación de la tarjeta SIM o Sim Swapping, una modalidad de fraude de la que te vamos a poner en alerta.
De acuerdo con la empresa de ciberseguridad, Kasperski, el fraude por intercambio de SIM es un problema cada vez más alarmante en países con altos índices de penetración de smartphones. Estos ataques silenciosos a los teléfonos móviles suelen pasar desapercibidos hasta que es demasiado tarde, sobre todo cuando las personas desconocen los posibles indicios que hay que tener en cuenta. Debido a que pueden ser tan perjudiciales desde el punto de vista económico y social, y difíciles de solucionar, es esencial comprender su funcionamiento y cómo prevenirlos.
El SIM Swapping, una nueva modalidad de fraude que debes conocer. Se trata de una creciente estafa que pone en riesgo tus datos personales y bancarios con la duplicación de tu tarjeta SIM.
Contexto: ¿Qué es un SIM?
Un módulo de identidad del abonado (SIM) es una pequeña tarjeta chip que activa los servicios de llamadas, mensajes de texto y datos en un teléfono móvil. Cada tarjeta SIM tiene unos identificadores únicos asociados a una sola cuenta telefónica. Debido a estos datos exclusivos, al extraer una tarjeta SIM de un teléfono y colocarla en otro se transfieren de forma automática los servicios móviles de esa tarjeta al nuevo dispositivo físico. Sin embargo, las empresas telefónicas también pueden transferir estos identificadores únicos a una nueva tarjeta SIM, por ejemplo, si se pierde la original. Por ello, los dispositivos móviles son vulnerables a un tipo concreto de ataque denominado “intercambio de SIM”.
BBVA alerta a usuarios por fraude
BBVA alertó a sus usuarios- que tengan su servicio móvil con Telcel, AT&T o cualquier otra telefónica-, del ‘SIM swapping’, una estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona; el ciberdelincuente suplanta su identidad para conseguir el duplicado. Después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.
Los datos sensibles de las víctimas también pueden ser obtenidos si descargaron aplicaciones fraudulentas en sus dispositivos, diseñadas por los ciberdelincuentes para robar este tipo de información, o si se han conectado a redes wifi falsas creadas para alcanzar tal objetivo.
El principal riesgo del duplicado de la tarjeta SIM radica en que cuando se realiza a través de una llamada telefónica no se efectúa una verificación de la identidad física. El operador de la compañía solicita ciertos datos personales y bancarios; si el estafador ha obtenido esta información mediante alguno de los métodos de ataque mencionados anteriormente, podría adquirir el duplicado.
El proceso comienza cuando el atacante obtiene información personal de la víctima a través de otros métodos de fraude como el phishing, vishing o smishing. Luego, usa estos datos para comenzar un proceso de portabilidad telefónica, es decir, un cambio de compañía. Una vez que tu número de teléfono está en manos del delincuente, este puede recibir todos los SMS y llamadas dirigidas a la víctima, incluidos los códigos de verificación de dos factores, por lo que puede acceder a cuentas bancarias y otros servicios en línea.
Modus Operandi del SIM Swapping
- Identificación de la víctima. Los atacantes recopilan información personal como nombre, direcciones, números de teléfono, y detalles bancarios, obtenidos a través de ataques de phishing, investigación en redes sociales, o a través de una llamada telefónica donde se hacen pasar por tu institución bancaria para obtener estos datos.
- Cambio de la tarjeta SIM. Los atacantes hacen el cambio de número de teléfono y solicitan un cambio de tarjeta SIM pero en otra compañía.
- Acceso a cuentas. Una vez que tienen el control de tu número de teléfono, los delincuentes reciben todos los mensajes y llamadas destinados a la víctima, permitiéndoles restablecer contraseñas y acceder a cuentas bancarias y de redes sociales.
- Robo de información y fondos. Finalmente, los atacantes acceden a las cuentas y transfieren fondos a sus propias cuentas, además de obtener información personal y contactos de la víctima que pueden servir para futuros ataques.
