SIM swapping: ¿Qué es?¿Cómo protegernos?

    El 'SIM swapping' es una estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona. Primero, el ciberdelincuente suplanta su identidad para conseguir el duplicado. Después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.




    Debemos tener en cuenta que esta técnica no es consecuencia de un fallo de seguridad en nuestros dispositivos, sino en la falta de implementación de protocolos de verificación estrictos a la hora solicitar una copia de nuestra tarjeta SIM. Además, esta técnica se usa conjuntamente con otras de ingeniería social para poder obtener beneficios, ya que lo que buscan los ciberdelincuentes en este caso es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles.

    Los ciberdelincuentes suelen contactar a través de una llamada con la operadora de telefonía o de forma presencial y proporcionan la información personal y privada de la víctima, como su número de DNI, para suplantar su identidad. Estos datos pueden haber sido recabados anteriormente realizando otros ataques de ingeniería social a los afectados (fraudes a través de SMS, email o llamada telefónica en los que se hacen pasar por compañías o entidades de confianza para intentar engañarlos) o indagando en sus redes sociales.

    Los datos sensibles de las víctimas también pueden ser obtenidos si estas han descargado aplicaciones fraudulentas en sus dispositivos, diseñadas por los ciberdelincuentes para robar este tipo de información, o si se han conectado a redes wifi falsas creadas para alcanzar tal objetivo.

    El principal riesgo del duplicado de la tarjeta SIM radica en que cuando se realiza a través de una llamada telefónica no se efectúa una verificación de la identidad física. El operador de la compañía solicita ciertos datos personales y bancarios; si el estafador ha obtenido esta información mediante alguno de los métodos de ataque mencionados anteriormente, podría adquirir el duplicado.

    No es raro ver que a los delincuentes no les ponen demasiadas barreras a la hora de obtener este duplicado de la SIM y esto es un serio problema. Una vez conseguido este duplicado, los delincuentes pueden entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación no tendrán problema, puesto que reciben los mensajes con el doble factor de autenticación (2FA) en la SIM clonada.

    A pesar de los esfuerzos de la Fuerzas y Cuerpos de Seguridad del Estado, en concreto de la Policía Nacional, para intentar acabar con las organizaciones criminales que hacen uso de este método, es un fraude que sigue en vigor motivado por esa presencia masiva de los móviles en los hogares españoles y por las nuevas técnicas de los ciberdelincuentes, como por ejemplo suplantando a entidades bancarias mediante SMS fraudulentos o a los servicios de atención al cliente mediante llamadas telefónicas.


¿Cómo protegernos?
      
         • Si detectas que el teléfono se ha quedado sin cobertura sin un motivo lógico, contacta con la operadora de telefonía para notificarlo y comprobar qué ha ocurrido.
     
          Implementa en tu dispositivo la autenticación en dos pasos, como medida adicional a la contraseña con la que podrás dificultar que alguien sin autorización acceda a tus cuentas. Puedes utilizar aplicaciones como Microsoft Authenticator, Google Authenticator como método alternativo de doble factor.
       
         Actualiza las opciones de recuperación de la cuenta, por si hubieran conseguido acceder a tu información.
        
         • Sé cauteloso con la información que compartes en las redes sociales y, en su caso configurar adecuadamente los ajustes de privacidad y seguridad, de forma que solo tus contactos puedan ver la información que se publica en ellas.
         
         No abras hipervínculos de Internet que se sean sospechosos ni archivos adjuntos recibidos por correo electrónico o SMS, dado que a veces los ciberdelincuentes suplantan la identidad de nuestros destinatarios.

         • Evita proporcionar información personal por correo electrónico o por teléfono cuando te llamen, especialmente si no puedes contrastar que realmente son quién dice ser.
        
         • Actualiza las contraseñas de forma periódica y asegúrate de que son robustas.

         • No introduzcas información sensible, como contraseñas y datos bancarios, si el dispositivo está conectado a wifi públicas.

         • No descargues aplicaciones de tiendas no oficiales (Google Play o Apple Store) y, en su caso, revisa los permisos que concedes para no dar acceso a tus datos personales


No hay comentarios:

Publicar un comentario