Recientemente, la Guardia Civil española arrestó a doce personas de diferentes nacionalidades que habrían obtenido más de tres millones de euros de beneficio a causa del SIM Swapping, el fraude que duplica las tarjetas SIM.
Se trata de una estafa que permite a los criminales secuestrar el número de teléfono al duplicar la tarjeta SIM. Esta técnica se debe a la falta de implementación de protocolos de verificación a la hora de solicitar una copia de la tarjeta SIM.
La estafa se acompaña con otras técnicas de ingeniería social ya que lo que buscan los delincuentes es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles.
Incluso usan webs fraudulentas a las que se redirige al usuario desde un enlace enviado un correo electrónico o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria.
¿Cómo se ejecuta?
Los delincuentes tratan de obtener las credenciales del usuario relacionadas con la banca online para maximizar el beneficio económico. Una vez, tratan de clonar la SIM de la víctima para poder recibir los códigos de verificación por SMS (doble factor de autenticación).
Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta.
Suele ocurrir que los usuarios se dan cuenta qué existe algún problema recién cuando dejan de tener señal en su teléfono.
A través de este fraude, se puede entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación reciben los mensajes con el doble factor de autenticación (2FA) en la SIM clonada.
Los delincuentes no solo buscan acceder a las cuentas bancarias de sus víctimas sino a activos como billeteras de criptomonedas o cuentas de servicios online como, por ejemplo, los de Google.
Si los cibercriminales consiguen las credenciales de la víctima, pueden llegar a saltarse el 2FA solicitando un código de un solo uso enviado por SMS. Una vez que han accedido a la cuenta, pueden tener el control de la cuenta de correo, contactos, así como los accesos a otros servicios, como Facebook, Instagram, Tik Tok.
- Las amenazas en línea que preocupan a los latinoamericanos
- Regresa engaño que suplanta identidad de Apple para robar datos
¿Cómo luchar contra esta amenaza?
De acuerdo a Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica, para hacerle frente a esta amenaza, se debe hacer un replanteamiento total del procedimiento de verificación de identidad que aún realizan muchas entidades bancarias y servicios online,
Una de estas medidas sería contactar con nuestra operadora y asegurarnos de que no se va a realizar ningún clonado de nuestra tarjeta a menos que lo solicitemos presencialmente en alguna tienda u oficina con un documento que nos identifique, destacó.
«Desde ESET apostamos a la educación como principal factor de protección, conocer los riesgos a los que estamos expuestos nos permite tomar las precauciones necesarias para disfrutar de la tecnología de manera segura”, acotó el ejecutivo.
