El fraude del ‘SIM Swapping’

¿Por qué a un ciberdelincuente le interesa duplicar tu tarjeta SIM?

El hackeo de SIM (SIM swapping) es una técnica conocida también como el timo del duplicado de SIM porque los ciberdelincuentes lo que hacen es precisamente eso: un duplicado de la SIM de la víctima. Para ello, suelen engañar a las compañías telefónicas, normalmente aprovechando errores humanos.

A pesar de que las aplicaciones de los bancos son cada vez más seguras y cuentan con diversas medidas de protección, si un ciberdelincuente tiene en su poder algunos datos personales de la víctima y un duplicado de su tarjeta SIM, puede ser capaz de acceder a su cuenta bancaria para robarle el dinero.

Una llamada que se corta y un móvil que se queda sin red. Así empieza este fraude.

¿Cómo se solicita un duplicado de la SIM?

Para entender un poco mejor cómo se puede llegar a materializar el fraude del “duplicado de la SIM”, es importante saber cuál es el proceso habitual de solicitud utilizado por la mayoría de las operadoras de telefonía móvil. En líneas generales, funciona de la siguiente forma:

  • El usuario, dependiendo de cuál sea su operadora, deberá dirigirse a cualquier tienda física, llamar por teléfono o acceder al área personal del sitio web oficial para realizar la solicitud.
  • Es requisito obligatorio ser titular de la línea de teléfono.
  • El usuario recibe la SIM y procede a su activación.
  • La operadora desactiva la anterior SIM.

Al conseguir el duplicado de la tarjeta SIM, pueden introducirla en un móvil que esté bajo su control y desde él, acceder a datos del usuario o incluso a cuentas en servicios digitales que lo tengan vinculado.

Entonces, si es necesario ser titular de la línea para poder realizar un duplicado de tarjeta SIM, ¿cómo es posible que alguien, que no seas tú, pueda hacerlo? Está claro, la persona estafadora o ciberdelincuente deberá suplantar tu identidad para poder hacerlo.

En los procesos de solicitud de tarjeta SIM puede resultar muy sencillo suplantar tu identidad si disponen previamente de tu información personal: nombre, apellidos, DNI, fecha de nacimiento, domicilio de facturación, 4 últimos dígitos de tu cuenta bancaria, etc.

En muchas de las ocasiones somos nosotros mismos los que facilitamos información personal de una manera u otra. Por tanto, debemos reflexionar y tener siempre presente que debemos ser cautos cuando vayamos a facilitar información personal. Analizar y reflexionar quién me la está pidiendo y con qué objetivo, para evitar que llegue a manos de personas con malas intenciones.

Otra forma de obtener nuestros datos podría ser robando una carta de nuestro buzón.

Una vez obtenida la nueva SIM, pueden fácilmente resetear las credenciales de nuestras cuentas bancarias y operar libremente con ellas hasta que nos demos cuenta y lo denunciemos.

 Y no solamente lo utilizan para operaciones bancarias, que ya es bastante. El atacante puede iniciar sesión en todas las cuentas que estén vinculadas a tu número de teléfono, en todos los servicios que utilicen el envío de SMS para iniciar sesión o recuperar la contraseña. Así puede conseguir mucha información sobre ti, tus datos personales e información financiera.

Por si fuera poco, el pasado 14 de septiembre 2019 entro en vigor la nueva ley europea de pagos digitales llamada PSD2 (Payment Service Directive 2). La PSD2 es una directiva europea para evitar fraudes y mejorar la seguridad en las operaciones bancarias hechas a través de internet. También facilitará el acceso de los datos de tus cuentas bancarias a terceros como Google, Apple, Facebook o Amazon para facilitar los pagos electrónicos por internet sin intermediarios.

Aunque no es obligado por esta directiva, la mayoría de los bancos van a eliminar la tarjeta de coordenadas y a adoptar la validación mediante una clave enviada por SMS. Actualmente muchos bancos ya cuentan este sistema de validación, pero todavía se va a extender más.

Un delincuente que se haya hecho con el control de la SIM mediante esta estafa, puede emplear, entre otras aplicaciones, el WhatsApp de la víctima. Y es que, para poner en funcionamiento la «app» propiedad de Facebook, solo es necesario meter un código numérico que el mismo servicio de mensajería envía al móvil del usuario vía SMS.
La Guardia Civil pone fin a una organización criminal que realizaba estafas mediante SIM swapping

Cinco personas han sido detenidas por la Guardia Civil de León dentro de la denominada operación «Duplex Card», desarrollada entre León y Barcelona, donde los implicados empleaban la técnica del SIM swapping para realizar la estafa (4/11/2019).
La investigación comenzó en agosto de 2019 tras recibir una denuncia donde a la víctima le habían sustraído 6.900 euros.
Tras las pesquisas realizadas por la Guardia Civil, determinaron que la estafa tenía origen en la localidad barcelonesa de Cornellá de Llobregart, donde el sospechoso, junto con cuatro colaboradores, llevaba a cabo la compleja trama delictiva.

La organización operaba en León y Barcelona y se componía de cinco personas: una trabajadora de una empresa de telefonía, dos individuos que facilitaban sus datos para la creación de cuentas, un colaborador que retiraba el dinero y el cerebro del grupo, un hombre residente en Cornellá de Llobregat (Barcelona).

El proceso que ejecutaba esta red era el siguiente: la empleada de la empresa de telefonía obtenía un duplicado de la tarjeta SIM de la víctima sin que ésta se diese cuenta, así como algunos datos personales (DNI y entidad bancaria). Después, la organización restablecía la contraseña del banco mediante el código de validación que la entidad envía al cliente a través de SMS. Tras obtener acceso a la cuenta, a continuación, procedían a realizar transferencias o retirar el dinero.

Para evitar ser una víctima de la técnica del SIM swapping, utiliza sistemas de autenticación en dos pasos, que incluyan una contraseña y reconocimiento facial, huella dactilar o código de Google Autenticator. Además, extrema la precaución en caso de que hayas perdido tu móvil o te lo hayan robado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *