Cómo protegerse del SIM swapping: un esfuerzo conjunto entre usuarios y operadores móviles

Los fraudes de ingeniería social han aumentado exponencialmente debido a la cantidad de posibilidades que permiten a un ciberdelincuente tener efectividad en su actividad. El Sim Swapping es una de ellas, la cual abusa del descuido de los usuarios.

El uso de smartphones y la conexión a internet han transformado nuestra manera de comunicarnos, simplificando múltiples trámites cotidianos. Sin embargo, con el avance de las tecnologías, también se han desarrollado nuevas modalidades delictivas. Por ello, es esencial que tomemos medidas para minimizar el riesgo de ser víctimas de tácticas como el SIM swapping.

¿En qué consiste esta técnica?

Es un tipo de fraude cibernético que consiste en duplicar o transferir la información de la tarjeta SIM de un teléfono celular a otra tarjeta SIM controlada por un atacante. La tarjeta SIM es un componente desmontable para dispositivos móviles que almacena información del usuario, como el número de teléfono y la identidad del suscriptor, así como otros datos relacionados con la cuenta.

Los delincuentes que realizan SIM swapping generalmente emplean métodos de ingeniería social para obtener información personal de las víctimas, luego se comunican con el operador de telefonía móvil de la víctima, haciéndose pasar por el titular de la cuenta y solicitando un cambio o reemplazo de la tarjeta SIM. Una vez que los atacantes obtienen control sobre el número de teléfono y la información de la tarjeta SIM de la víctima, pueden acceder a diversas cuentas en línea asociadas a ese número, como cuentas bancarias, redes sociales y correo electrónico.

La prevención de este delito es responsabilidad tanto de los usuarios como de los operadores móviles. El trabajo en conjunto puede establecer una barrera sólida contra quienes buscan apoderarse de la tarjeta SIM de otra persona. A mi juicio, la colaboración entre ambas partes debería materializarse en: 

• Usuarios: Como propietarios y portadores de una tarjeta SIM, es crucial estar alerta a llamadas, mensajes SMS y mensajes instantáneos que emplean técnicas de ingeniería social para obtener datos personales. Como primer paso es indispensable dudar frente a cualquier mensaje no solicitado y verificar la identidad de quien se comunica con nosotros. Hoy, nuestra identidad está expuesta en muchos servicios y plataformas digitales, por lo que para un actor malicioso es tarea sencilla imitar un mensaje de una marca o entidad de nuestro interés para así evitar que nos cuestionemos su veracidad.
  
  Al obtener acceso a nuestra información, los delincuentes pueden:

1. Tomar control de cuentas bancarias y realizar transacciones no autorizadas, lo que podría resultar en la pérdida de fondos, suplantación de identidad, compras no deseadas, así como una serie de problemas relacionados con el reestablecimiento de la cuenta del usuario.
2. Acceder a cuentas de correo electrónico y redes sociales: Esto permitiría cometer distintos tipos de fraudes relacionados a partir del robo de información y utilización de las cuentas para suplantar la identidad, generar cambios en las credenciales de acceso, ingresar a cuentas que utilicen la misma contraseña, extorsionar, cometer fraudes a otros contactos del usuario. entre otros.
3. Robo de información confidencial para escalar los ataques: A través del ingreso a nuestras cuentas personales, un ciberdelincuente podría obtener la información necesaria para realizar otro tipo de ataques, por ejemplo, apuntar a nuestro entorno laboral. Es decir que el ataque podría escalar y dejar de ser un problema a nivel personal, involucrando personas cercanas y trabajo, volviendo a nuestro entorno vulnerable.

• Operadores: Los proveedores de telefonía móvil trabajan constantemente para evitar que los delincuentes obtengan una tarjeta SIM duplicada alegando daño o pérdida. Para garantizar un proceso de verificación eficaz, es fundamental proporcionar información real y verificable al adquirir un plan celular o de prepago. De esta manera, la empresa de telefonía móvil podrá realizar una comprobación precisa y rápida, para determinar si realmente se necesita un duplicado SIM o si se trata de un intento de fraude. Por otro lado, hay factores que no podemos controlar, un ejemplo de ello es cuando un colaborador de una compañía telefónica está coludido con un ciberdelincuente, pudiendo cambiar la SIM sin que el cliente lo haya solicitado.

Adicionalmente, es importante cuidar nuestras redes sociales y configurar en cada una de ellas un doble factor de autenticación, ya que inicialmente, el SIM swapping tenía como objetivo acceder a cuentas bancarias o plataformas de transacciones monetarias. No obstante, ahora los delincuentes también se interesan en nuestras redes sociales.

Es importante recordar que los accesos ilegales a Facebook, Instagram, TikTok y otras redes sociales pueden ser utilizados para dañar la reputación en línea de las víctimas y chantajearlas. Por ejemplo, con un acceso no autorizado, un ciberdelincuente podría obtener fotos y conversaciones comprometedoras y amenazar con divulgarlas a menos que se realice un pago.

¿Cómo prevenimos los fraudes por la técnica del SIM swapping?

1. Prevención: Evita responder a correos electrónicos de personas desconocidas y no comparta información personal en sitios web no seguros. Proporciona tus datos únicamente a entidades confiables y mediante canales oficiales para garantizar la seguridad y prevenir el phishing (captura de información en línea), smishing (fraude a través de SMS) y vishing (fraude a través de una llamada telefónica).

2. Detección: Si tu tarjeta SIM deja de funcionar repentinamente o recibe mensajes extraños sobre actividades no realizadas, comunícate de inmediato con tu operador móvil para verificar si se ha presentado una solicitud ilegal relacionada con la línea. De ser así, solicite la cancelación inmediata. Recuerde que, por ley, es dueño del número registrado y puede activarlo en nuevas tarjetas SIM y con diferentes operadores.

3. Acción: Si confirmas que has sido víctima del SIM swapping, revisa de inmediato todas las cuentas bancarias, redes sociales y servicios de suscripción, aplicando un cambio a todas las contraseñas. Para facilitar esta tarea, hoy existen gestores de contraseñas como BitWarden o 1Password, las cuales son «cajas fuertes» que almacenan y gestionan las contraseñas de forma segura, permitiendo recordarlas y actualizarlas rápidamente.

Por último, recomiendo utilizar sistemas de autenticación robustos, como el segundo factor de autenticación a través de otros medios (PIN, dispositivo externo, contraseña o validación) o la identificación biométrica (huellas dactilares), ambos actúan como llaves de seguridad digital.

Titan de Google es un ejemplo conocido de este tipo de sistemas, pero hay otros modelos disponibles que también se basan en la autenticación de dos factores. De esta manera, incluso si los delincuentes clonan la tarjeta SIM, necesitarán un código adicional para acceder a su información personal.

Como inicie mi columna, la prevención del SIM swapping es un esfuerzo conjunto entre usuarios y operadores móviles. Al estar alerta y seguir las recomendaciones de seguridad, podemos protegernos de esta y otras amenazas cibernéticas, garantizando la seguridad de nuestra información y la tranquilidad de nuestra vida digital.

Dejo algunas alternativas a Titan de Google que me parecen interesantes: 

• YubiKey: Fabricado por Yubico, YubiKey es un dispositivo de hardware que proporciona autenticación de dos factores y es compatible con múltiples servicios en línea y protocolos de seguridad, como FIDO U2F, FIDO2, PIV (tarjeta inteligente) y OpenPGP.

• SoloKeys: Es otro dispositivo de seguridad de código abierto compatible con FIDO2 y U2F. Está disponible en dos versiones: Solo USB-A y Solo USB-C. Además, cuenta con una edición NFC que permite su uso con dispositivos móviles compatibles con la tecnología NFC.
  
• Thetis FIDO U2F Security Key: Thetis ofrece una llave de seguridad compatible con FIDO U2F que se puede utilizar en varios servicios en línea como Google, Facebook, Dropbox, GitHub y más. El dispositivo Thetis se conecta a través de USB y es compatible con Windows, macOS, Chrome OS y Linux.
  
• Authy: Authy es una aplicación móvil que funciona como un autenticador de dos factores basado en tiempo (TOTP). Aunque no es un dispositivo de hardware como Titan, proporciona una capa adicional de seguridad al requerir un código temporal generado por la aplicación para acceder a sus cuentas en línea.

• Microsoft Authenticator: Similar a Authy, Microsoft Authenticator es una aplicación móvil que brinda autenticación de dos factores basada en tiempo. Es compatible con cuentas de Microsoft y otros servicios en línea que admiten el estándar TOTP.

La elección del dispositivo o aplicación de seguridad adecuado dependerá de sus necesidades específicas y de la compatibilidad con los servicios en línea que utiliza.

La ciberseguridad es hoy, asegura a tu compañia, protege a las personas.