El secuestro de SIM y cómo afecta la seguridad de tus cuentas
800 Noticias / Infobae
Se conoce como secuestro de SIM (SIM hijacking) a un tipo de fraude por medio del cual un criminal contacta a la empresa de telefonía móvil y se hace pasar por el titular de la cuenta para solicitar un duplicado de la tarjeta SIM. Llaman diciendo que perdieron o no encuentran la que tenían y que quieren una nueva SIM de su línea de teléfono.
Cuando esto ocurre, la tarjeta original queda desactivada, y la segunda SIM, en manos del criminal, queda operativa. ¿Cuál es el gran riesgo de esto? Si el titular de la línea tiene activado como segundo factor de autenticación el SMS, el delincuente comenzará a recibir todos los token vinculados a sus correos, redes sociales y hasta billeteras digitales en su celular.
De ese modo podría acceder a todos los perfiles y cuentas de la víctima lo cual podría derivar en robo de dinero e información. El usuario quedaría bloqueado de todas las cuentas vulneradas, desde Instagram o Gmail hasta las billeteras electrónicas. El perjuicio podría ser enorme.
Este tipo de ataque se conoce también como intercambio de SIM (SIM swapping) y requiere un trabajo de investigación previa por parte del criminal. Antes de llamar a la operadora de telefonía para solicitar un duplicado de la SIM, investigará las redes sociales y analizará la web para encontrar datos personales del usuario -DNI, domicilio, nombre completo suyo y de sus parientes, etc- que le servirán para validar su identidad cuando contacte a la operadora para solicitar una nueva SIM.
También es posible que por medio de diferentes técnicas de ingeniería social, el criminal obtenga esa información personal directamente por parte de la víctima. Se conoce como ingeniería social a la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/Y2BVXL746VCCVA5ANXZ744RV4Q.jpg)
El secuestro de tarjetas SIM le puede servir al hacker para acceder a todas las cuentas que tengan como factor de doble autenticación el envío de SMS
Esto se puede hacer de forma telefónica o a través de mensajes o mails donde el criminal se hace pasar por alguna entidad y le solicita al usuario que ofrezca sus datos o los ingrese en un formulario online para cumplir con algún supuesto requerimiento. Son miles las excusas de las cuales se puede valer el atacantes para obtener datos privados.
Lo más aconsejable sería que las operadoras no realicen duplicaciones de la tarjeta a menos que la solicitud se realice de forma presencial en alguna sucursal y presentando el DNI. Estas son precauciones que algunas compañías toman pero no todas. Y en el contexto de pandemia, donde se instrumentaron medidas de aislamiento y cuarentenas no siempre fue posible instrumentar esa precaución.
Hay que entender que en este caso el ataque no ocurre por una vulnerabilidad en el hardware o sistema operativo, sino por un trabajo de recolección de información, por medio de diferentes técnicas de ingeniería social por parte del criminal. Entonces, ¿qué hacer? Lo ideal es evitar, siempre que sea posible, emplear el SMS como segundo factor de autenticación.
Otra opción es emplear el celular (no el número sino el dispositivo) como llave de seguridad. También están las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que requiere el uso de llaves físicas y que incluyen la implementación del estándar FIDO2.
