Los ciberdelincuentes siempre encuentran nuevas maneras para engañar o estafar. Las técnicas empleadas suelen aprovecharse de fallos de seguridad o del desconocimiento de los usuarios. Una de estas técnicas que están dando más que hablar en los últimos tiempos es el SIM swapping, una estafa que se realiza a través del duplicado de tarjetas SIM del teléfono.
En este artículo hablamos de:
¿Qué es el SIM swapping?
El SIM swap o SIM swapping es una estafa que permite a un tercero duplicar la tarjeta SIM de nuestro teléfono móvil y conseguir así el control de nuestra línea móvil, con todas las consecuencias que esto puede tener para nosotros (y qué veremos más adelante).
Esta estafa del duplicado de la tarjeta SIM es basa en la suplantación de identidad y ni siquiera depende un fallo de seguridad en el móvil (aunque sí que puede ser la consecuencia de una app maliciosa), donde sí encuentra su apoyo es en la falta de mecanismos de seguridad de las operadoras a la hora de conceder un duplicado de tarjeta, y de las brechas de seguridad que pueden suponer los procesos de verificación a través de SMS.
Cabe señalar que solicitar un duplicado de una tarjeta SIM es relativamente sencillo, ya que solo se piden unos datos del titular, que suelen incluir el DNI, datos que a través de la ingeniería social pueden conseguirse. Además, en muchos casos, estos duplicados, como en los casos de SIM swapping de Movistar o Vodafone, pueden solicitarse por teléfono.
¿Cómo realizan el SIM swapping?
El SIM swapping se realiza en dos fases diferentes. La primera consiste en conseguir los datos personales del usuario, puesto que son los que la operadora solicitará para «confirmar» la identidad del cliente y proceder con el duplicado de la tarjeta.
Para conseguir los datos, como ya hemos señalado, los cibercriminales emplean habitualmente técnicas de ingeniería social, como el uso de páginas web fraudulentas o aplicaciones falsas (conocidos como ataques de phishing), en las que el usuario introduce sus credenciales. También se puede recurrir a apps maliciosas para espiar las acciones del usuario en su móvil, incluidos los accesos a su aplicación de banca o cualquier app o servicio que requiera credenciales. Incluso se puede intentar conseguir una copia del DNI de la víctima (por ejemplo, a través de ventas o multas falsas).
Una vez obtenidos los datos, los cibercriminales buscarán obtener un duplicado de la tarjeta SIM de la víctima. Para ello se pondrán en contacto con la operadora de telefonía y se harán pasar por la víctima. Este paso no les resultará complicado, ya que muchas de las operadoras hacen los duplicados de tarjeta sin aplicar las medidas de seguridad adecuadas.
Al duplicarse la tarjeta SIM, o bien nuestro teléfono se quedará sin cobertura (primera señal que debería alertarnos), o bien, seguiremos teniendo cobertura, pero se habrá dado de alta un servicio multiSIM, que le permitirá al cibercriminal seguir usando el duplicado, sin que nos demos cuenta en un primer momento.
¿Cómo protegerse del SIM swapping?
Protegerse del SIM swapping pasa, en primer lugar, porque las operadoras de teléfono adopten medidas de seguridad mucho más férreas a la hora de realizar un duplicado de tarjeta.
Sin embargo, la realidad es que no podemos depender de lo que hagan terceros y está en nuestra mano evitar el SIM swapping aplicando algunas medidas de seguridad que se lo pongan más difícil a los cibercriminales:
- No facilitar datos personales a nadie a través de enlaces, mensajes, correos electrónicos o llamadas telefónicas, que puedan parecer sospechosos. Debemos recordar que nuestro banco (o cualquier otro servicio) no se pondrá en contacto con nosotros para solicitarnos datos personales a través de estas vías. Y ante la duda, siempre podemos ponernos nosotros en contacto con ellos o acceder al servicio a través de su URL y no el enlace que nos hayan facilitado.
- No publicar información personal en redes.
- No enviar una imagen de nuestro DNI si no estamos seguros de quién nos lo está pidiendo y para qué.
- No introducir credenciales mientras usamos redes WiFi públicas.
- No descargar aplicaciones de lugares no oficiales.
- Desvincular la autenticación de dos factores del SMS (si es posible).
- Si has perdido la cobertura de repente (en un sitio en el que la tienes habitualmente), ponerte en contacto con tu operadora para comprobar que ha ocurrido.
¿Qué consecuencias puede tener el SIM swap?
Lo más habitual es que los ciberdelincuentes utilicen el SIM swapping para suplantar la identidad del usuario y acceder a la cuenta de su banca online. El principal objetivo es realizar transferencias bancarias o solicitar créditos y préstamos a nombre de la víctima.
Sin embargo, el SIM swapping también se puede usar para acceder a otras cuentas del usuario, por ejemplo en Google. En este caso podría ser incluso más fácil, ya que el ciberdelincuente podría obtener acceso a las cuentas de la víctima sin necesidad de usar la autenticación de dos factores, introduciendo un código de un solo uso. Y lo mismo en otras plataformas y redes sociales, caso de Facebook, Twitter, TikTok, etc.
Por otro lado, el SIM swap también podría permitir el acceso a plataformas online que se usan para enviar y recibir dinero, como PayPal. Esta plataforma también usa el SMS como código de autenticación 2FA, y accediendo a ella, el delincuente podría, por ejemplo, hacerse pasar por el verdadero titular de la cuenta para solicitar el envío de dinero a amigos o familiares que la persona tenga entre sus contactos.
En definitiva, se podría decir que el SIM swapping puede acarrear tres riesgos principales para la víctima:
- El robo de dinero o los fraudes bancarios. Hay que tener en cuenta además que muchas entidades bancarias no devuelven todo el dinero estafado. Por ejemplo, hay testimonios en internet de personas que fueron víctimas de SIM swapping en el Banco Santander, y la entidad solo les devolvió un tercio de la cuantía.
- La suplantación de identidad, con la que el ciberdelincuente podría hacerse pasar por el usuario para realizar todo tipo de fraudes.
- Las consecuencias para la privacidad del usuario. Por ejemplo, imaginemos que el ciberdelincuente obtiene acceso a las redes sociales de la víctima, donde encuentra fotos que pueden resultar comprometidas y amenaza a la persona con publicar esas fotos en internet si no accede al pago de una cantidad de dinero.
Ejemplos de SIM swapping
Hay numerosos ejemplos de SIM swapping que han transcendido en los medios. Por ejemplo, en 2020, un adolescente de 15 años llamado Ellis Pinsky logró estafar, junto con otras veinte personas, más de 20 millones de dólares a un conocido inversor en criptomonedas.
Cualquiera puede ser víctima de SIM swapping. Ahí está el ejemplo de Jack Dorsey, el cofundador de Google, al que le robaron la cuenta en su propia red social a través de este método.