31-05-2022

¿Qué es el Sim Swapping y en qué consiste?

La suplantación de tarjeta SIM (SIM swap) es una estafa en la que los delincuentes usan técnicas de ingeniería social para acceder a los datos personales de la potencial víctima.

Esta técnica no es consecuencia de un fallo de seguridad en los dispositivos, sino en la falta de implementación de protocolos de verificación a la hora de solicitar una copia de la tarjeta SIM.

El fraude permite a los cibercriminales duplicar la tarjeta SIM.

Según informó la compañía de seguridad informática ESET, esta estafa se acompaña con otras técnicas de ingeniería social, ya que lo que buscan los delincuentes es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviar a los dispositivos móviles. 

¿Cómo funciona?

Los delincuentes tratan de obtener las credenciales del usuario relacionadas con la banca online, aunque no es el único objetivo. El robo de credenciales suele realizarse mediante técnicas de ingeniería social tradicionales, por ejemplo, usando Webs fraudulentas a las que se redirige al usuario desde un enlace enviado un correo electrónico o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria.

Una vez conseguidas las credenciales, los delincuentes tratan de clonar la SIM de la víctima para poder recibir los códigos de verificación por SMS (doble factor de autenticación). Para eso, los cibercriminales se aprovechan de las escasas medidas de verificación de la identidad que suelen solicitar algunos operadores.

Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta. 

«La primera señal que identifican las víctimas de SIM Swapping es la pérdida de señal de la red en sus equipos. Esto se debe a que una vez que los criminales activan la nueva tarjeta SIM en un nuevo dispositivo automáticamente se desactiva la línea. Evidentemente, los mecanismos de validación de identidad de las compañías telefónicas son un tanto débiles y esa es probablemente una de razones más importantes para entender el crecimiento y la vigencia de esta modalidad de fraude». 

Una vez que los delincuentes consiguen este duplicado, pueden entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación reciben los mensajes con el doble factor de autenticación (2FA) en la SIM clonada.

Los delincuentes no solo buscan acceder a las cuentas bancarias de sus víctimas sino a activos como billeteras de criptomonedas o cuentas de servicios online como, por ejemplo, los de Google. 

Si los cibercriminales consiguen las credenciales de la víctima, pueden llegar a saltarse el 2FA solicitando un código de un solo uso enviado por SMS. Una vez que han accedido a la cuenta, pueden tener el control de la cuenta de correo, contactos, así como los accesos a otros servicios, como WhatsApp, Facebook, Instagram, LinkedIn, entre otros. 

¿Cómo evitar el SIM Swapping?

Existen una serie de acciones que pueden disminuir las probabilidades de ser afectados por este tipo de delitos. 

• En caso de detectar que el celular se quedó sin cobertura, contactar inmediatamente a la compañía de comunicaciones. Conocer el estado de la tarjeta SIM permite saber si ha sido duplicada.
• No brindar datos personales por correo electrónico, SMS o llamada telefónica.
• Desconfiar de cualquier entidad o persona que pregunte por claves personales o cualquier otra información que pueda ser considerada confidencial.
• Tener cuidado con la información que se descarta. Los recibos, resúmenes o comprobantes deben ser destruidos antes de ser arrojados a la basura.
• No brindar información de depósitos. En caso de observar movimientos sospechosos, comunicarse con la entidad financiera.
• La clave para evitar este tipo de estafa es no permitir que nuestra operadora móvil realice un duplicado o clonado de nuestra tarjeta SIM, a menos que la solicitemos presencialmente en una tienda oficial con un documento que nos identifique.

Si tiene alguna consulta en relación a esta temática, por favor no dude en contactarse con nosotros.

Departamento de Sistemas

Mayo 2022

Este boletín informativo ha sido preparado por mgi Jebsen & Co. para información de clientes y amigos. Si bien ha sido confeccionado con el mayor cuidado y celo profesional, mgi Jebsen & Co. no asume responsabilidades por eventuales inexactitudes que este boletín pudiera presentar.