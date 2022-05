El SIM swapping o duplicación de la tarjeta SIM de los teléfonos celulares, es un tipo de fraude que permite a los delincuentes robar la identidad de una persona, mediante el secuestro del número de teléfono al obtener un duplicado de su tarjeta.



Pero, cómo funciona, Sol González, Especialista en Seguridad Informática de ESET Latinoamérica, explica que los criminales inicialmente tratan de obtener las credenciales del usuario, normalmente aquellas relacionadas con la banca online para maximizar el beneficio económico. Sin embargo, advierte, este no es el único objetivo.



Dice también que el robo de credenciales suele realizarse mediante técnicas de ingeniería social tradicionales, como por ejemplo, usando páginas web fraudulentas a las que se redirige el usuario desde un enlace enviado a un correo electrónico, o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria.



Una vez conseguidas las credenciales, los delincuentes tratan de obtener un clonado de la tarjeta SIM de la víctima para así poder recibir los códigos de verificación por SMS (doble factor de autenticación).



“Para esto, los cibercriminales se aprovechan de las pocas medidas de verificación de la identidad que suelen solicitar algunos operadores”, sostiene González.

Así opera esta forma de robo

Luego de recopilar la información personal de sus víctimas, a través de las redes sociales, por ejemplo, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la tarjeta SIM que quieren clonar, todo con el objetivo de solicitar un duplicado de la tarjeta.



“Muchas veces ocurre que los usuarios se dan cuenta de que existe algún problema cuando dejan de tener señal en su teléfono”, agrega la vocera de ESET.



Si bien no cuentan con datos respecto al crecimiento en estos tipos de ataques en América Latina y en Colombia, desde enero de 2018 hasta diciembre de 2020, el Centro de Quejas de Delitos en Internet del FBI, recibió 320 quejas relacionadas con incidentes de intercambio de SIM con pérdidas de aproximadamente US $12 millones.

En el 2021, el IC3 - Internet Complaint Center, del FBI, recibió 1611 quejas de intercambio de SIM con pérdidas ajustadas a más de US$68 millones, una cifra bastante preocupante, según las autoridades.

Consecuencias para usuarios

Según indica González, cuando una persona sufre un ataque de SIM swapping la primera consecuencia que notará es la pérdida de señal de la red en sus equipos.



Esto se debe a que una vez los delincuentes activan la nueva tarjeta SIM en otro dispositivo, automáticamente se desactiva la línea anterior.



De otro lado, destacó la gravedad de este ataque, ya que los ciberdelincuentes pueden obtener información sensible del usuario o empresa, etc.



Una vez obtienen todos estos datos podrían llegar a acceder al control de redes sociales, cuentas bancarias u otro tipo de aplicaciones.



Pero, ¿cómo acceden a la información de los clientes y qué herramientas utilizan para ello? Los criminales se ponen en contacto con el servicio de atención al cliente de los operadores de la empresa telefónica haciéndose pasar por los usuarios, pero para llegar a esa instancia antes tuvieron que recolectar información clave. Tal como el nombre completo del usuario o número de línea del mismo. “Esto lo hacen a través de la recolección de nuestros datos mediante diversas fuentes Osint (conjunto de técnicas y herramientas para recopilar información pública, analizar los datos y correlacionarlos convirtiéndolos en conocimiento útil)”.



“Muchas veces los usuarios exponen información personal y sensible en diversas redes como su número de teléfono y ahí empieza el problema, porque si ellos no tuvieran esta información, en primera instancia, no se llevarían a cabo este tipo de ataques”, dijo la especialista en seguridad informática.



Finalmente, con respecto a quiénes pueden ser más vulnerables a este tipo de delitos, la respuesta es clara: cualquier usuario que tenga un número telefónico en línea puede ser víctima.



“Ningún usuario está exento de este tipo de ataques. Por eso, se deben tomar todas las precauciones necesarias para evitar ser potenciales víctimas de este delito”, puntualizó González.



Sin embargo, hay dos recomendaciones claves para proteger cuentas en caso de clonación de chip: primero no utilizar como código PIN o código de verificación una fecha o número que alguien pueda asociar con la persona. Segundo, evitar en la medida de lo posible, la autenticación en dos pasos mediante SMS, y en lugar de utilizar opciones como una app de autenticación o una clave de seguridad física.



También hay que evitar caer en el phishing de SMS, una estafa cuyo objetivo o propósito es obtener, a través de Internet, datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios.



Entre tanto, el smishing es otra forma de phishing en la que se utilizan teléfonos móviles como plataforma de ataque. Es así como el delincuente intenta obtener información personal, incluidos los números de la tarjeta de crédito o de la seguridad social.



Cabe anotar que el smishing no se propaga a través de un correo electrónico, sino por un SMS.



De todas formas, en ambos casos el estafador se hace pasar por una entidad conocida, como por ejemplo un banco o una empresa. Es importante entender que, del mismo modo en que el ciberdelincuente puede enviar un correo apócrifo, es decir, que aparentemente proviene desde una dirección conocida, también puede falsificar el número telefónico que aparece como origen de los mensajes.



Si el usuario recibe mensajes extraños y tiene dudas sobre su veracidad, no debe responder ni ingresar a ningún enlace de URL.



Además, es importante tener cuidado con mensajes que dicen provenir de entidades financieras o promociones que incluyan un enlace web, una petición urgente o que solicitan compartir ese enlace.



En estos casos, afirma la experta, es recomendable que la persona se comunique con la entidad para confirmar la información recibida.