Tarjetas SIM Falsas: Qué son y cómo las usan los estafadores

La 2FA (autenticación de 2 factores) y los OTP (contraseñas de un solo uso) son tan comunes hoy en día que los desarrolladores de aplicaciones permiten a menudo que los teléfonos las completen automáticamente.

Después de todo, si el usuario recibe el mensaje, ciertamente debe ser el propietario legítimo del dispositivo cuya cuenta necesita ese paso adicional de verificación. ¿Por qué crear fricción y frustración adicionales forzándolo a ingresar el código manualmente?

¿Pero qué pasa si el número de teléfono que recibió el código ni siquiera es legítimo en primer lugar? ¿No incumple eso todo el propósito de la autenticación de varios factores?

Como veremos en este artículo, obtener números de tarjetas SIM desechables no es difícil en lo absoluto. Y esto tiene serias implicaciones para la seguridad de tu negocio en internet.

¿Qué es una tarjeta SIM falsa?

Una tarjeta SIM virtual, también conocida como e-SIM, es un número de teléfono basado en la nube. Le permite a los usuarios hacer llamadas y recibir mensajes utilizando datos sin la necesidad de una tarjeta SIM física.

Las tarjetas SIM estándar son objetos físicos que tienes que pedirle a tu operador telefónico para acceder a sus servicios. Sin embargo, cada vez más operadores utilizan las SIM virtuales en su lugar. 

Una ventaja clave, por ejemplo, es permitirle a los usuarios hacer llamadas del mismo teléfono incluso si viajan al extranjero, sin la necesidad de cambiar su locación con un proveedor telefónico. Las tarjetas SIM virtuales también permiten a los usuarios acceder a varios números de teléfono desde el mismo dispositivo.

¿Cómo funcionan las tarjetas SIM falsas y virtuales?

Hay varias formas de usar una tarjeta SIM virtual:

• Descarga una app eSIM en tu teléfono: únicamente inscríbete en un servicio en línea que te de un número de teléfono. Puede ser temporal, que se conoce a menudo como Burner App, con base en teléfonos burner (teléfonos desechables).
• Utiliza un teléfono que soporte tarjetas SIM virtuales: algunos proveedores de redes ofrecen eSIMs oficiales. Si tu teléfono las soporta, solo es cuestión de escanear un código QR o descargar la aplicación oficial del proveedor para tu región.

Ten en cuenta que mientras que la mayoría de los teléfonos requieren una tarjeta SIM para hacer llamadas, cada vez más fabricantes están activando el soporte para tarjetas SIM virtuales. Los iPhones, por ejemplo, tienen compatibilidad con tarjetas SIM virtuales a partir del iPhone 11.

Tarjetas SIM virtuales, 2FA y OTP

Desafortunadamente, la mayoría de casos de uso de las tarjetas SIM virtuales parecen ser fraudulentos por naturaleza. Esto se debe a la dependencia de 2FA (Autenticación de 2 Factores) y al OTP (Contraseñas de un solo uso).

Ambas tecnologías están diseñadas para autenticar a los usuarios al confirmar que son dueños de cierto dispositivo o número de teléfono.

Y según las propias investigaciones de Google, funciona: añadir un número de teléfono de recuperación a una cuenta puede bloquear hasta el 100% de los bots automatizados, 99% de los ataques de phishing y 66% de los ataques directos. 

¿El problema? Los estafadores están encontrando formas de sortear estos métodos de autenticación.

4 Formas de sortear una autenticación de teléfono

Siempre que una nueva tecnología de seguridad es desplegada, los defraudadores encuentran varias maneras de sortearla. Lo mismo aplica para la verificación de teléfono. Así es como los estafadores pasan de este tipo de autenticación.

1. Servicios de números de teléfono desechables

La verificación de teléfono no solo se usa hoy en día para la autenticación. Cada vez más a menudo, forma parte del proceso estándar de creación de cuentas. En teoría, vincular un número de teléfono a una nueva cuenta ayuda a completar una pieza del perfil del cliente. 

¿Pero qué sucede cuando un usuario no tiene un teléfono o no quiere usar su número de teléfono real? Y peor aún, ¿qué pasa cuando el usuario está creando un perfil con base en una identificación falsa o una identificación sintética?

Tienen una variedad de soluciones, y la primera es buscar rápidamente en línea números de teléfono desechables o temporales. 

Algunos de estos servicios en línea son gratuitos, mientras que otros operan bajo un modelo de pago por uso, en el que compras crédito (usualmente a través de criptomonedas). 

El servicio recibe por ti el SMS de confirmación y te permite crear una nueva cuenta en segundos, con un número de teléfono no artificial, todo por el económico precio de $0.1 a 0.5 por mensaje. 

2. Aplicaciones burner y eSIMs

¿Qué sucede cuando no quieres usar tu teléfono inteligente para recibir SMS de confirmación de distintos números de teléfono? Esto es posible gracias a las aplicaciones burner. 

Estas aplicaciones que reciben su nombre por los “burner phones”, o teléfonos móviles desechables utilizados en el narcotráfico, permiten que cualquiera se beneficie de una segunda línea de llamadas privadas, mensajes de texto e imágenes. 

Vendidas bajo la pretensión de proteger tu número real (con propósitos de privacidad), sabemos que estas aplicaciones se están convirtiendo rápidamente en herramientas para los estafadores que quieran crear cuentas múltiples. Y las cuentas múltiples usualmente quieren decir abuso de bonificaciones, reseñas falsas o fraude de pago. 

De manera similar, buscar la app en Google o la Play Store revelará docenas de servicios eSIM, los cuales te dan cuentas múltiples para VOIP y SMS. Cada cuenta viene con su propio perfil, lo que las hace perfectas para las cuentas múltiples fáciles y el fraude de identidad. 

3. Suplantación de SIM

Sin lugar a dudas, la consecuencia más preocupante del incremento de la verificación de teléfono es que los estafadores ahora intentan suplantar el número original. 

El proceso no es sencillo, pero la tasa de éxito es alarmante. De hecho, incluso Jack Dorsey, CEO de Twitter fue víctima de lo que se conoce como SIM swapping, o ataque SIM swap. Así es como funciona:

1. Los estafadores obtienen un teléfono con un número que controlan
2. Encuentran el número de teléfono de su víctima
3. Llaman a la compañía telefónica y convencen al operador para que cambie el número de la víctima al suyo. (Los criminales más organizados incluso le pagan al personal de la compañía telefónica para que coopere.)
4. Todas las verificaciones por SMS de 2FA y OTP ahora están bajo su control. Pueden comenzar a restablecer las contraseñas de las cuentas de redes sociales o cuentas bancarias. 

Las consecuencias de los ataques de cambio de SIM cubren un frente amplio. En su modo más ligero, los estafadores solo quieren alardear de sus habilidades de hackeo. Otros lo usan para hacerse con aliases de Instagram valiosos. 

Pero claro, el objetivo final de los criminales organizados es acceder a las carteras digitales o a los detalles financieros para extraer dinero de las cuentas. 

4. Hackeo SS7

Uno de los tipos de ataques más sofisticados que hemos detectado en años recientes involucran los hackeos SS7. Estos métodos técnicos explotan una vulnerabilidad que permite a los estafadores recibir llamadas y mensajes de un suscriptor en otro teléfono. 

Como puedes imaginar, esto abre la puerta a innumerables ataques de phishing o de ingeniería social. En combinación con los avances en los deep fakes de audio, esto debería ser suficiente para que una organización sea más cuidadosa respecto a confirmar cualquier cosa a través de una llamada telefónica o un mensaje de texto.

Cómo detectar números de teléfono falsos y tarjetas SIM falsas

Ahora debería estar claro que verificar un número de teléfono no es suficiente para garantizar la identidad de tus usuarios. ¿Pero qué hay de los metadatos que pueden obtenerse a través del enriquecimiento?

Esto es exactamente lo que la herramienta de inteligencia de SEON te permite verificar, usando una serie de características: 

• CNAM, o Caller Name Delivery: esta verificación técnica se solicita a la compañía telefónica. Nos ayuda a comparar el nombre completo del suscriptor con el identificador de llamadas. Desde aquí podemos comenzar a detectar datos no coincidentes. 
• HLR, o Home Location register: esta verificación nos permite acceder a más datos vinculados con el suscriptor telefónico, como se registran en una base de datos central. Podemos comprobar el nombre del proveedor, si el teléfono ha sido enrutado y si el número de teléfono es virtual.
• Búsqueda IMSI y MSISDN: el International Mobile Subscriber Identity y el Mobile Station International Subscriber Directory Number también son bases de datos útiles de escanear. Si dos usuarios comparten la misma, eso apunta a una tarjeta SIM virtual. 

¿Quieres probarlo tú mismo? Simplemente ingresa un número de teléfono en el siguiente campo para comprobarlo: 

Al probar esta herramienta, aceptas automáticamente nuestra Política de Privacidad, Términos Generales de Servicio y el Acuerdo de Procesamiento de Datos. No haremos spam o venderemos tus datos. 

Es importante destacar en este punto que los proveedores de SIM virtuales y basadas en la nube ni siquiera permiten la búsqueda HLR. Este es probablemente el mejor indicador de que tu herramienta está funcionando.

Prueba nuestra demo para un conjunto completo de características tales como:

• ¿Es un número real?
• ¿País del proveedor?
• Tipo de proveedor: es un teléfono móvil o fijo.
• Cuentas de redes sociales: qué perfiles de redes sociales están asociados a la cuenta. Por ejemplo Facebook, Instagram, Twitter.
• Datos de mensajería: qué aplicaciones de mensajería están conectadas. Por ejemplo, Whatsapp, Viber, Telegram.

Combinar el análisis telefónico con la búsqueda inversa de redes sociales

La bala de plata cuando se trata de verificar la información del usuario basándose únicamente en un número de teléfono es la búsqueda de redes sociales y mensajería.

Y SEON es el único software de detección de fraude que te permite verificar más de 50 redes sociales y aplicaciones de mensajería para encontrar información tal como:

• Si el usuario se ha registrado en sitios de redes sociales: en algunas industrias, tales como los préstamos en línea, encontramos que el 76% de los usuarios sin una presencia social incumplen el pago de su préstamo. SEON puede verificar más de 50 redes sociales incluyendo LinkedIn, Twitter, Facebook y muchas otras más. 
• Biografía de usuario y gravatar: si quieres profundizar en tu KYC, la búsqueda de redes sociales puede darte una idea de quién es tu usuario, y cómo luce.
• Visto por última vez: útil para la revisión manual, para confirmar si los perfiles de mensajería de nuestros usuarios están en uso o son cuentas o son cuentas abandonadas o falsas.

Todos estos datos adicionales ayudan a constituir un perfil más completo, con base únicamente en un número de teléfono. 

Análisis telefónico de SEON para la industria de préstamo

Analizar el número de teléfono provisto por un usuario puede apuntar a si se usó uno real o no. Pero no es suficiente marcarlo como estafador, sino simplemente elevar la sospecha. Es por ello que el análisis telefónico es especialmente útil como un enriquecimiento de datos adicional, combinado con el análisis de correo electrónico e IP. 

Así es exactamente como uno de nuestros clientes, una plataforma de préstamos P2P, aprovecha la herramienta de inteligencia de SEON para el análisis de teléfono. Al realizarse a través de una API, esta verificación en tiempo real les ayuda con su score crediticio, y decide si los deudores son dignos de confianza o deberían ser evitados.

La detección de tarjetas SIM virtuales y tú

Los números de teléfono se utilizan cada vez con mayor frecuencia como métodos de verificación, y puntos de datos adicionales para KYC o verificaciones de crédito. ¿El problema? Son más fáciles que nunca de suplantar.

La buena noticia es que la protección de cambio de SIM y la detección de tarjetas SIM virtuales es un proceso rápido, asequible y efectivo gracias a las herramientas de búsqueda CNAM y HLR, todo lo cual está disponible con el módulo inteligente de análisis telefónico de SEON. 

En combinación con otros módulos de enriquecimiento de datos de nuestro conjunto de prevención de fraude, o integrada dentro de nuestra plataforma completa de detección de fraude de extremo a extremo, te damos todas las herramientas que necesitas para proteger a tu negocio y a tus usuarios.  

Preguntas frecuentes

Quizás también te interese leer sobre:

• SEON: Búsqueda Inversa de Teléfonos
• SEON: Fraude de Identidad Sintética – Cómo Prevenirlo y Detectarlo

Aprende más sobre:

Enriquecimiento de datos |  Huella digital en internet | Detección del fraude online | Detección de fraude con machine learning y IA