¡Pide presupuesto en 2 min! ✓
Ciberseguridad

SIM swapping ¿Qué es y cómo evitar este ciberataque?

6 Mins read

Los ciberdelincuentes siempre encuentran nuevas maneras para engañar o estafar. Las técnicas empleadas suelen aprovecharse de fallos de seguridad o del desconocimiento de los usuarios. Una de estas técnicas que están dando más que hablar en los últimos tiempos es el SIM swapping, una estafa que se realiza a través del duplicado de tarjetas SIM del teléfono.

¿Qué es el SIM swapping?

Se denomina SIM swap o SIM swapping al robo de identidad a través del duplicado de la tarjeta SIM del móvil. Mediante esta copia de la tarjeta SIM, los hackers informáticos pueden llegar a suplantar la identidad de una persona y vaciar su cuenta corriente.

En primer lugar, hay que tener en cuenta que, en realidad, el SIM swapping no se basa en un fallo de seguridad de los dispositivos móviles, sino que se aprovecha de la falta de mecanismos de seguridad de las operadoras a la hora de conceder un duplicado de tarjeta, y de las brechas de seguridad que pueden suponer los procesos de verificación a través de SMS.

Por un lado, solicitar un duplicado de tarjeta es relativamente sencillo. Los ciberdelincuentes pueden obtener los datos del titular a través de malware o técnicas de ingeniería social. Después, con los datos en la mano, se ponen en contacto con la operadora par solicitar el duplicado de tarjeta. El SIM swapping en Movistar o Vodafone no resultaría demasiado complicado, porque muchas veces te hacen el duplicado de tarjeta facilitando unos pocos datos.

Después, con la tarjeta duplicada ya pueden hacerse pasar por el verdadero titular. Su objetivo suelen ser los bancos, empresas o plataformas que permiten realizar compras, sacar dinero o pedir préstamos mediante la autenticación de dos factores por SMS. Muchas de estas entidades envían un código SMS al usuario para identificar al usuario y confirmar la operación. Al tener la SIM duplicada, los ciberdelincuentes pueden recibir este código para realizar todo tipo de fraudes y estafas.

Fases del SIM swapping

Lo primero que hacen los delincuentes es trata de conseguir los datos personales del usuario, generalmente aquellos necesarios para acceder a la banca online. Para ello, suelen emplear técnicas de ingeniería social como el uso de páginas web fraudulentas o aplicaciones falsas que se hacen pasar por webs o apps oficiales, y que instan al usuario a introducir sus credenciales.

Si el usuario cae en la trampa e introduce sus datos, los ciberdelincuentes buscarán obtener un duplicado de la tarjeta SIM de la víctima. Para ello se pondrán en contacto con la operadora de telefonía y se harán pasar por la víctima. Una vez que tengan los datos, este paso no les resultará complicado ya que muchas de las operadoras hacen los duplicados de tarjeta sin aplicar las medidas de seguridad adecuadas.

Por último, con los datos del usuario y su tarjeta duplicada, procederán a entrar en sus cuentas de banca online u otros servicios y, suplantando la identidad del usuario, extraerán dinero de sus cuentas, solicitarán créditos o realizarán compras online, entre otras estafas. Muchos de estos servicios emplean la autenticación de dos factores por SMS, así que el ciberdelincuente tan solo tiene que recibir el código SMS en su tarjeta duplicada, e introducirlo en alguna de estas plataformas para confirmar las operaciones.

La calculadora o la linterna del móvil, puerta abierta par el SIM swap

Cabe decir que los ciberdelincuentes cada vez usan técnicas más eficaces. Por ejemplo, el SIM swapping a través de la calculadora o la linterna del móvil. Estas aplicaciones, aparentemente inofensivas, pueden ser empleadas por los hackers para instalar códigos maliciosos que escanean el teléfono en busca de datos personales o apps bancarias. De esta manera, cuando el usuario inicie la aplicación de su banca online, en realidad lo que se iniciará será una página web idéntica bajo el control del ciberdelincuente.

Sin embargo, aunque el usuario introduzca sus datos personales en esa web falsa, al hacker todavía le faltaría acceder al código de verificación para poder confirmar las operaciones con la banca online. De ahí que el SIM swapping requiera siempre del duplicado de la tarjeta SIM para poder recibir esos códigos de verificación por SMS.

¿Para qué usan los ciberdelincuentes el duplicado de tu tarjeta SIM?

Lo más habitual es que los ciberdelincuentes utilicen el SIM swapping para suplantar la identidad del usuario y acceder a la cuenta de su banca online. El principal objetivo es realizar transferencias bancarias o solicitar créditos y préstamos a nombre de la víctima.

Sin embargo, el SIM swapping también se puede usar para acceder a otras cuentas del usuario, por ejemplo en Google. En este caso podría ser incluso mas fácil, ya que el ciberdelincuentes podría obtener acceso a las cuentas de la víctima sin necesidad de usar la autenticación de dos factores, introduciendo un código de un solo uso. Y lo mismo en otras plataformas y redes sociales, caso de Facebook, Twitter, TikTok, etc.

Por otro lado, el SIM swap también podría permitir el acceso del hacker a plataformas online que se usan para enviar y recibir dinero, como PayPal. Esta plataforma también usa el SMS como código de autenticación 2FA, y accediendo a ella, el delincuente podría, por ejemplo, hacerse pasar por el verdadero titular de la cuenta para solicitar el envío de dinero a amigos o familiares que la persona tenga entre sus contactos.

¿Qué consecuencias puede tener el SIM swap?

En definitiva, se podría decir que el SIM swapping puede acarrear tres riesgos principales para la víctima. Por un lado, el robo de dinero o los fraudes bancarios. Hay que tener en cuenta además que muchas entidades bancarias no devuelven todo el dinero estafado. Por ejemplo, hay testimonios en internet de personas que fueron víctimas de SIM swapping en el Banco Santander, y la entidad solo les devolvió un tercio de la cuantía.

Por otro lado, está la suplantación de identidad, con la que el ciberdelincuente podría hacerse pasar por el usuario para realizar todo tipo de fraudes. Puedes leer más en nuestro artículo sobre qué es el phishing.

Por último, están las consecuencias para la privacidad del usuario. Por ejemplo, imaginemos que el ciberdelincuente obtiene acceso a las redes sociales de la víctima, donde encuentra fotos que pueden resultar comprometidas y amenaza a la persona con publicar esas fotos en internet sino accede al pago de una cantidad de dinero.

¿Cómo protegerse frente al timo de duplicado de SIM?

La protección contra el SIM swapping pasa, en primer lugar, porque las operadoras de teléfono adopten medidas de seguridad mucho más férreas a la hora de realizar un duplicado de tarjeta.

Sin embargo, la realidad es que no se puede depender de lo que hagan terceros, y también está en la mano del usuario adoptar actitudes y medidas que dificulten a los ciberdelincuentes este tipo de estafas. Entonces, SIM swapping, cómo evitarlo:

  • Añadir una clave o PIN de seguridad para desbloquear la tarjeta SIM del teléfono. Muchos smartphones actuales incluso permiten emplear métodos como el desbloqueo por huella dactilar.
  • Evitar compartir nuestro PIN con nadie, salvo que sea de máxima confianza.
  • Intentar no usar los códigos SMS como código de verificación de dos pasos.
  • No guardar información de carácter confidencial en el smartphone, para evitar que el ciberdelincuente tenga acceso a ella si ha logrado penetrar en el teléfono.
  • No vincular la cuenta bancaria con la cuenta del móvil.
  • Usar una red virtual privada para navegar desde el móvil u otros dispositivos.
  • Tener cuidado con los correos de remitentes desconocidos, los archivos adjuntos sospechosos, o las páginas web de dudosa fiabilidad.
  • Minimizar los datos personales que compartimos en internet. Cuantos menos datos privados se compartan, más difícil lo tendrán los ciberdelincuentes para suplantar la identidad.
  • Instalar herramientas o software de seguridad que permitan proteger la tarjeta SIM o los datos almacenados en el teléfono.

¿Qué hacer si has sido víctima de SIM swapping?

Si crees que has sido víctima de SIM swapping en España, has de avisar inmediatamente a tu operadora de móvil para que anule la tarjeta y a tu entidad bancaria, para que no autorice ninguna operación. Por supuesto, deberás poner una denuncia en la Guardia Civil.

Ejemplos

Hay numerosos ejemplos de SIM swapping que han trascendido en los medios. Por ejemplo, el año pasado un adolescente de 15 años llamado Ellis Pinsky logró estafar, junto con otras veinte personas, más de 20 millones de dólares a un conocido inversor en criptomonedas.

Cualquiera puede ser víctima de SIM swapping. Ahí está el ejemplo de Jack Dorsey, el cofundador de Google, al que le robaron la cuenta en su propia red social a través de este método.

About author
Licenciado en Periodismo por la Universidad Pontificia de Salamanca. Redactor online con más de 12 años de experiencia. Especialidad en temas legales, fiscales y financieros. Experto en marketing online y contenidos web.
Articles
Related posts
Ciberseguridad

NetWalker, el ransomware que se aprovechó del Covid-19 para atacar centros educativos y de salud

6 Mins read
Los cibercriminales también se aprovechan de la actualidad para hacer negocio, cómo vamos a ver en este artículo sobre el ransomware NetWalker,…
CiberseguridadCloud Computing

DPaaS o data protection as a service, una tendencia en alza

7 Mins read
En este artículo vamos a hablaros de un servicio en la nube que cada vez cobra más importancia y presencia, el DPaaS…
CiberseguridadInternet

¿Es seguro registrarse con tu cuenta de Google, Twitter o Facebook?

5 Mins read
Hasta no hace mucho tiempo, cada vez que queríamos hacernos una cuenta de usuario en una web o aplicación, teníamos que crear…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.