Si no has sido víctima de ningún fraude de intercambio de tarjeta SIM, puedes considerarte afortunado/a. Es una forma relativamente nueva y sofisticada de fraude que permite a los piratas informáticos acceder a cuentas bancarias, números de tarjetas de crédito y otros datos personales. Es difícil de detectar, y todavía más complicado reparar el daño resultante.
Es una tendencia en auge. Según la Comisión de Comercio Justo de los Estados Unidos, se comunicaron 1 038 casos de robo de identidad de intercambio de SIM en enero de 2013, representando el 3,2 por ciento de los casos de robo de identidad de ese mes. Para enero de 2016, ese número se había elevado a 2.658.
Sin embargo, no debemos perder la esperanza. Conocer los fundamentos del fraude con tarjetas SIM puede ayudarnos a protegernos contra las formas más comunes, y reconocer un ataque en curso puede ayudarnos a evitar el peor de sus efectos.
¿Qué es una estafa de intercambio de SIM?
La tarjeta SIM de un teléfono móvil almacena los datos del usuario en los teléfonos GSM (Global System for Mobile). Se utilizan principalmente para autentificar las suscripciones de los móviles. Sin una tarjeta SIM, los teléfonos GSM no pueden conectarse a ninguna red móvil.
El fraude de intercambio de SIM es un tipo de robo de identidad que explota la mayor vulnerabilidad del sistema SIM: El agnosticismo de la plataforma.
«A diferencia del malware móvil, los ataques de fraude de SIM suelen estar dirigidos a víctimas rentables que han sido objeto de un ataque específico a través de ingeniería social».
«Se trata de un método mediante el cual la que atacantes intentan acceder a las comunicaciones del teléfono móvil de su objetivo», comentó Andrew Blaich, investigador de seguridad de Lookout, a Digital Trends. «Hay muchos casos públicos de atacantes que se abren camino a través del representante de una empresa de telefonía móvil para conseguir una tarjeta SIM emitida para una cuenta que el atacante no posee o a la que no tiene acceso. Parece fácil, ya que todo lo que se necesita es un representante dispuesto/susceptible en cualquier tienda de telefonía móvil».
Emma Mohan-Satta, consultora en prevención de fraudes de Kaspersky Labs, comentó a Digital Trends que la creciente dependencia de la autenticación basada en el teléfono ha hecho que el intercambio de SIM sea un tipo de fraude cada vez más lucrativo.
«Una alta proporción de los clientes bancarios tienen números de teléfono móvil vinculados a sus cuentas, por lo que este tipo de ataques se está convirtiendo en algo común en algunas regiones donde antes no era tan común», comentó Mohan-Satta. «A diferencia del malware móvil, los ataques de fraude de SIM suelen estar dirigidos a víctimas rentables que han sido objeto de un ataque específico a través de ingeniería social».
Sentar las bases para un fraude de intercambio de SIM implica recoger tanta información sobre la víctima como sea posible. Los estafadores pueden enviar correos de phishing (mensajes que se hacen pasar por negocios legítimos como por ejemplo, empresas emisoras de tarjetas de crédito y aseguradoras de salud) con la intención de engañar a las víctimas para que proporcionen sus nombres legales, fechas de nacimiento, direcciones y números de teléfono. Desafortunadamente, mucha gente no puede distinguir entre los correos electrónicos reales y los correos electrónicos de phishing. También pueden indagar en los sitios web públicos, las redes sociales y los volcados de datos de los delincuentes que se especializan en la recopilación de datos personales.
Una vez que los criminales que van a intercambiar la SIM han reunido suficiente información sobre un objetivo, crean una identidad falsa. Primero, llaman al proveedor de telefonía móvil de la víctima y le comunican que han perdido o se ha dañado su tarjeta SIM. Luego, solicitan al representante de servicio al cliente que active una tarjeta SIM o un número en su posesión.
La mayoría de los proveedores de servicios de telefonía móvil no aceptarán esas solicitudes a menos que las personas que llamen respondan a las preguntas de seguridad, pero los estafadores especializados en SIM están preparados y utilizan los datos personales que han recogido de toda la web para derrotar los controles de seguridad de la operadora sin levantar sospechas.
Una vez que tienen acceso sin restricciones al número de teléfono de la víctima, los criminales se dirigen a las cuentas bancarias.
«El atacante puede leer tus mensajes SMS y ver con quién estás chateando y sobre qué», dijo Blaich. «Muchos bancos te enviarán un código para acceder a una cuenta o restablecer una contraseña de un teléfono móvil a través de un SMS, lo que significa que un atacante que haya intercambiado tu SIM puede solicitar y recibir el código y acceder a tu banco».
A continuación, los estafadores de la SIM enmascaran las retiradas de dinero usando un sistema paralelo. Crean una segunda cuenta bancaria a nombre de la víctima (los bancos en los que la víctima ya es cliente tienen menos controles de seguridad). Cuando los delincuentes ejecutan una transferencia entre las dos cuentas, al sistema informático del banco le parece que la víctima está transfiriendo fondos entre dos cuentas paralelas.
Señales de que se ha producido un fraude por intercambio de SIM
Es difícil detectar un fraude con la tarjeta SIM antes de que se produzca. La mayoría de las víctimas descubren que han sido víctimas de un fraude cuando intentan hacer una llamada o enviar un mensaje de texto. Una vez que los perpetradores desactivan una SIM, ya no será posible enviar mensajes ni realizar llamadas. Algunos bancos y empresas han establecido protecciones que previenen el fraude del intercambio de SIM antes de que ocurra.
«Existen múltiples formas organizativas y técnicas para combatir el fraude con tarjetas SIM, desde enviar una alerta al usuario y realizar verificaciones adicionales antes de volver a emitir la tarjeta SIM, hasta compartir el conocimiento de la actividad de intercambio de la tarjeta SIM con bancos y operadoras de telefonía», comentó Mohan-Satta. «Los bancos también pueden considerar buscar cambios de comportamiento a través de la tecnología de análisis de comportamiento que puedan indicar que un dispositivo está comprometido. Esta información puede ser utilizada por el banco para evitar el envío de contraseñas mediante SMS a dispositivos comprometidos y como una forma temprana de alertar al cliente real».
Algunas instituciones llaman a sus clientes para comprobar si tienen una nueva tarjeta SIM o les alertan de que alguien se está haciendo pasar por ellos.
Martin Warwick, responsable de fraudes de la FICO en Europa, Oriente Medio y África, comentó a CreditCards.com que cada vez más bancos utilizan el IMSI (International Mobile Subscriber Identity), un número único asociado a un teléfono GSM específico, para asegurarse de que los códigos de uso único se envían solo a los abonados legítimos.
«Es posible comprobar si el número de la tarjeta SIM y la identidad de abonado móvil internacional (IMSI) son los mismos», dijo Warwick. «Si existe alguna una discrepancia, el banco se pone en contacto con su cliente mediante correo electrónico o teléfono fijo para verificar los datos»,
Algunos bancos del Reino Unido, incluido el Lloyds Banking Group y el Santander, dicen que están trabajando ello con los proveedores de redes. Otros grupos, como Acción contra el Fraude Financiero del Reino Unido (Financial Fraud Action UK) se asocian activamente con operadoras de telecomunicaciones para proporcionar información a los suscriptores sobre la existencia del fraude por intercambio de SIM.
Cómo prevenir el fraude por intercambio de SIM
Las principales operadoras de Estados Unidos ofrecen seguridad que puede ayudar a los usuarios a protegerse contra el intercambio de tarjetas SIM.
- AT&T tiene «seguridad extra», una característica que requiere que se proporcione una clave de acceso para cualquier interacción en línea o por teléfono con un representante de AT&T. Esta función se puede activar entrando en el panel de control de AT&T o en la aplicación myAT&T.
- Sprint pide a los clientes que establezcan un PIN y preguntas de seguridad cuando configuran el servicio.
- T-Mobile permite a los suscriptores crear una «contraseña de atención al cliente», que deberán de indicar cuando se pongan en contacto con el servicio de asistencia al cliente de T-Mobile por teléfono. La contraseña se puede configurar en una tienda de T-Mobile o llamando al servicio de atención al cliente.
- Verizon permite a los clientes establecer un PIN para su cuenta, lo cual pueden hacer editando su perfil en su cuenta por Internet, llamando al servicio de atención al cliente o visitando una tienda de Verizon.
La forma más fácil de prevenir el fraude de la tarjeta SIM es aplicando unas cuantas reglas de sentido común, ha comentado Mohan-Satta.
«Los usuarios deben evitar revelar demasiados datos personales en Internet, y comprobar qué alertas se pueden configurar con su banco u operadora de telecomunicaciones para identificar cualquier intento de acceso a su cuenta», dijo.
«Debe evitarse la utilización de los mensajes SMS como método primario de comunicación porque los datos no están cifrados».
Otra buena práctica es utilizar aplicaciones de mensajería codificada que no sean débiles como la mensajería SMS. Blaich sugiere habilitar la autenticación de dos factores, que requiere una clave de acceso generada al azar además de un nombre de usuario y una contraseña, en medios sociales sensibles, tarjeta de crédito y cuentas bancarias.
«Los usuarios pueden protegerse mejor usando servicios que no utilicen SMS para sus códigos y que usen aplicaciones de autenticación tales como Google Authenticator o cualquier otra de las aplicaciones disponibles que proporcionan un servicio similar», dijo. «También es importante evitar el uso de SMS como método primario de comunicación porque los datos de un SMS no están cifrados y se pueden robar con facilidad. Los usuarios deben cambiar a aplicaciones o servicios de mensajería como iMessage, WhatsApp, Signal, etc. para sus comunicaciones privadas».
Nunca está de más tomar precauciones. Blaich recomienda comprobar con su operadora de telefonía cada dos semanas si se ha emitido alguna tarjeta SIM adicional.
Si eres víctima de una estafa de intercambio de SIM, no es el fin del mundo. Mohan-Satta dice que actuar rápidamente puede minimizar el daño infligido por los estafadores.
«Es de vital importancia informar al banco o a la operadora de telefonía móvil en cuanto se tenga alguna sospecha para reducir el impacto del ataque», dijo.