SIM swapping: Qué es y cómo prevenirlo

¿Crees que el 2FA puede protegerte? Los defraudadores de SIM swap piensan lo contrario. Conoce todo sobre el fraude de SIM swapping y cómo prevenirlo en este artículo. 

¿Qué es el SIM swapping?

El fraude de SIM swapping se produce cuando un estafador se hace con el control del número de teléfono de alguien. El estafador se pone en contacto con un operador de telecomunicaciones y lo convence para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM. El defraudador controla entonces la nueva SIM y puede recibir SMS y llamadas telefónicas.

Esto es especialmente perjudicial cuando los estafadores reciben mensajes 2FA y OTP. En esencia, pueden entrar en las cuentas de la víctima y minarlas para obtener información o dinero. En 2020, la Interpol detuvo a 10 estafadores tras robar más de 100 millones de dólares en criptomonedas tras ataques de SIM swapping. 

El fraude de SIM swapping también se conoce como SIM splitting o SIM jacking. Es una forma de ingeniería social y de fraude de telecomunicaciones, ya que hay que engañar y convencer a un agente de telecomunicaciones para que transfiera el número de teléfono a una nueva SIM. 

¿Cómo funciona el SIM swapping?

El fraude de SIM Swapping suele producirse de dos maneras:

• Robo selectivo de SIM: En este caso, los estafadores tienen un número de teléfono específico que quieren controlar. Esto es particularmente común cuando se intenta tomar el control de valiosas cuentas de redes sociales. Se sabe que las cuentas de Instagram o de juegos, por ejemplo, alcanzan precios de hasta 40.000 dólares.
• Fuerza bruta: A veces, los estafadores se limitan a probar suerte con numerosos números de teléfono hasta que les toca el premio gordo. 

En ambos casos, los pasos siguientes son muy similares:

1. El estafador buscará información sobre el titular del número de teléfono. 
2. Se pondrá en contacto con la compañía de telecomunicaciones correspondiente y se hará pasar por la víctima.
3. Piden que se transfiera el número antiguo a una nueva SIM, que ellos controlan.
4. Ahora pueden empezar a recibir SMS con 2FA u OTP para entrar en las cuentas, robar información y sustraer datos personales.

¿Que sucede tras un ataque de SIM swap?

El SIM swapping es solo el primer paso para los estafadores. Sin embargo, una vez que tienen el control de tu número de teléfono, no hay límite para el número de daños que pueden hacer. Esto puede adoptar la forma de:

• Robo de identidad: La forma más común de ataque y, de hecho, la razón por la que muchos defraudadores utilizan el SIM swapping en primer lugar. Un defraudador que controle un número de teléfono puede recibir un SMS 2FA u OTP que le permita acceder a tus cuentas. Esto incluye la banca móvil, las redes sociales o las cuentas de tiendas online.
• Fraude de identidad: Robar el número de teléfono de alguien no se considera un fraude de identidad en sí mismo. Pero los estafadores suelen minar las cuentas en busca de documentos personales para robar la identidad de la víctima.
• Suplantación de identidad: Una vez que tienen el control de un número de teléfono, los estafadores pueden ponerse en contacto con sus familiares, amigos y colegas para recabar información personal.
• Fraude en las transacciones: Si tu cuenta actúa como monedero electrónico (por ejemplo, para el crédito de una tienda online), los defraudadores la utilizarán para comprar regalos. Peor aún, podrían encontrar un número de tarjeta de crédito vinculado y utilizarlo en sus compras.
• Fraude del CEO: Han aumentado los ataques en los que ejecutivos y directivos son suplantados por los estafadores. Tomar el control de su número de teléfono puede ayudar a este tipo de esquemas.

Cómo prevenir el SIM swapping 

Evitar el SIM swapping es una estrategia triple. Requiere la colaboración de empresas, operadores de telecomunicaciones y usuarios. Vamos a desglosarla a continuación.

Verificación más estricta por parte de los operadores de telecomunicaciones

El primer paso para evitar el fraude de SIM swapping es que los operadores de telecomunicaciones (telecos) apliquen procedimientos de verificación más estrictos. 

Por suerte, en varios países se han puesto en marcha normativas para garantizar que las cuentas de los usuarios se beneficien de una mayor protección.

En Estados Unidos, por ejemplo, la FCC modificó sus normas de Información de Red Propia del Cliente (CPNI) y de Portabilidad del Número Local. Las nuevas normas establecen que los operadores de telefonía móvil deben notificar a los clientes reales antes de reasignar el número a una nueva tarjeta SIM o una portabilidad. 

Además, las normas también están diseñadas para bloquear las llamadas falsas al obligar a los operadores de telefonía móvil a mantener una base de datos de mitigación de llamadas falsas. Si un número de teléfono está etiquetado como spam, deberá aparecer como tal en los identificadores de llamadas de los usuarios cuando el teléfono esté sonando. 

Las normas son estrictas, ya que la FCC ha indicado que cualquier compañía de telefonía móvil que no las cumpla será prohibida y esencialmente dejará de operar. 

Verificación de cuentas mediante el análisis de la huella digital 

Si no puedes confiar en que el 2FA garantice que la persona correcta está iniciando sesión en su cuenta, necesitas autenticar utilizando métodos alternativos.

Uno de estos métodos es mirar las huellas digitales…

En términos sencillos, se trata de comprobar que los datos del usuario que se conecta son coherentes con los datos que has recogido en el pasado. La mayoría de las empresas ya se fijan en las direcciones IP, pero también puedes mirar la configuración de software y hardware del dispositivo. 

Entraremos en más detalles sobre esto más adelante, aunque si lo prefieres puedes pasar a la sección de herramientas para saber más.

Mejor educación del usuario 

Por último, pero no por ello menos importante, los titulares de números de teléfono deben vigilar de cerca sus cuentas personales. El sentido común tiene mucho que ver, pero cada vez son más las empresas que se encargan de educar a los usuarios sobre la importancia de los datos de sus cuentas. 

La verificación 2FA o MFA es un buen punto de partida, pero cada vez son más las empresas que incentivan a los usuarios a confiar en la autenticación biométrica y la verificación por correo electrónico para acceder a sus cuentas, o al menos a recibir una notificación cuando se produce un inicio de sesión sospechoso.

Las mejores herramientas para detectar el SIM swapping

Aunque los operadores de telecomunicaciones deberían tener sus propios métodos de detección de SIM swapping, la mayoría de las empresas también pueden aprovechar las herramientas de prevención de fraude.

Estas herramientas están diseñadas para autentificar a los usuarios, lo que puede resultar útil si solo han sido víctimas de ataques de SIM-jacking. 

Las herramientas con un historial probado de ayuda a la autenticación incluyen:

• Búsqueda de IP: Al conocer todo lo posible sobre una dirección IP, puedes comparar los datos con tus registros de usuario estándar. Y lo que es más importante, puedes detectar al instante conexiones sospechosas procedentes de geolocalizaciones lejanas o de herramientas de suplantación de identidad como VPN, Tor, proxies y emuladores.
• Huellas digital del dispositivo: De forma similar a las búsquedas de IP, también puedes reunir cientos de puntos de datos relacionados con el software y el hardware del dispositivo. Esto también es útil para identificar configuraciones de suplantación que se esconden detrás de emuladores. Más concretamente, un nuevo dispositivo que utiliza los mismos datos pero un nuevo número de teléfono sería un claro indicador de que se trata de SIM swapping.
• Detección de tarjetas SIM virtuales: La obtención de nuevos números de teléfono para sus estafas cuesta mucho tiempo y esfuerzo a los estafadores. Para acelerar las cosas, recurren a las tarjetas SIM virtuales o eSIM. Puedes realizar una rápida comprobación HLR/CNAM para saber si el nuevo número de teléfono apunta a datos sospechosos o no.

¿Quieres probarlo tú mismo? Prueba nuestra herramienta de búsqueda de teléfonos:

Preguntas frecuentes

Fuentes:

• Europol: Ten hackers arrested for string of SIM-swapping attacks against celebrities
• FCC: The FCC’s Push to Combat Robocalls & Spoofing
• The New York Times: Instagram Bans Hundreds of Accounts With Stolen User Names