Vivir en un mundo digitalizado implica tener que aprender a usar nuevos métodos de protección. Casi sin darnos cuenta, el teléfono móvil se ha convertido en uno de esos cerrojos virtuales, ya que a través de él podemos conseguir una forma única y cómoda de identificarnos en la red.
La autenticación en dos pasos, basada en el envío de mensajes SMS, parece ser una medida muy buena para proteger nuestros servicios. Aunque la realidad es que los smartphones no cuentan con un escudo perfecto y cabe la posibilidad de que un ciberdelincuente suplante nuestro número con muy malas intenciones.
Si el teléfono deja de tener cobertura sin una razón identificable, puede ser el primer síntoma de que otra persona ha tomado el control. Es decir, se ha podido producir un ataque de SIM swapping y que hayan duplicado nuestro número de teléfono.
¿En qué consiste el SIM swapping?
El SIM swapping es una estafa consistente en la duplicación de forma fraudulenta de la tarjeta SIM del móvil de una persona. Lo primero que ocurre es que el ciberdelincuente suplanta la identidad del usuario objetivo para realizar el duplicado.
¿Cómo consiguen tomar la identidad del cliente original? La parte más débil en el SIM Swapping es el empleado que nos ofrece el duplicado de la tarjeta. Por esto es muy importante que confiemos en una operadora como Orange, que es muy estricta con los documentos de identificación de la persona que lo está solicitando.
En el siguiente paso, la víctima se queda sin cobertura y no puede hacer llamadas, ni recibirlas. Es el momento en el que el atacante accede a la información personal y toma el control de diferentes servicios que hacen uso de la autentificación en dos pasos a través de SMS. La banca digital es, sin duda, el punto más crítico.
Casos reales: robos de cuentas bancarias y de redes sociales
El SIM swapping es una práctica de la que no se libra nadie, ni siquiera personajes tan protegidos como Jack Dorsey, cofundador de Twitter. En su caso, sufrió un robo de cuenta de su servicio, en la que aparecieron tuits ofensivos y racistas.
El empresario estadounidense puso sobre la mesa que la confirmación de la cuenta a través de un mensaje SMS es un sistema que también presenta vulnerabilidades. En esa época, Twitter ofrecía la posibilidad de lanzar tuits a partir de SMS, una opción que fue deshabilitada tras este desagradable episodio.
Más grave es otro sonado caso, esta vez en nuestro país, en el que el usuario Otto Más se quedó sin dinero en la cuenta corriente. El infractor había conseguido realizar el duplicado de la SIM y, a través de ella, rescatar la contraseña para entrar en la operativa digital del banco.
¿Cómo prevenir el SIM Swapping?
La responsabilidad no está solo en nuestras manos. Tanto las operadoras como los bancos tienen que introducir mecanismos que compliquen la suplantación de identidad. Aun así, algunas recomendaciones a seguir como usuarios son:
- No proporcionar datos personales o bancarios. Mucho cuidado con los enlaces en correos electrónicos y SMS que resulten sospechosos. También con llamadas en las que nos solicitan información.
- Configurar los ajustes de privacidad y seguridad de los perfiles en redes sociales. Además de no compartir datos privados en ellas y elegir contraseñas robustas.
- Las aplicaciones siempre deben descargarse desde las tiendas oficiales. Es decir, Google Play y App Store. Lo más recomendable es concederles a las apps solo los permisos necesarios y cuando se están usando.
- Si vamos a utilizar una red wifi pública, nunca la empleemos para enviar información sensible, como passwords para entrar en nuestras redes y servicios.
De hecho, los especialistas en ciberseguridad no consideran que la autenticación en dos pasos con SMS sea un método seguro. Recomiendan apostar por aplicaciones móviles de autenticación que sustituyan a los SMS, como Microsoft Authenticator, Autenticador de Google y Authy.
En un paso superior de seguridad están las llaves U2F (Universal 2nd Factor Keys), un estándar abierto de autenticación que consiste en llaves físicas basadas en el estándar FIDO2.
¿Qué hacer si crees que has sido víctima del SIM Swapping?
Si se detecta que el teléfono se ha quedado sin cobertura sin un motivo lógico, es recomendable contactar lo antes posible con la operadora para notificar la situación.
En el caso de que se confirme un duplicado de tarjeta que no hemos realizado, debemos cambiar de inmediato las contraseñas de nuestros servicios principales. Sobre todo aquellos que usan la autenticación en dos pasos basada en SMS. El primero que deberíamos gestionar es el banco.
Si ya es tarde y se han producido movimientos bancarios que no hemos realizado, lo más aconsejable es contactar con el banco para notificar lo ocurrido. Es importante guardar toda la información y evidencias que nos puedan servir para acompañar a la denuncia posterior que deberemos presentar ante la policía.
Por Kote Puerto
Imágenes | Andrey Metelev | Van Tay Media | Towfiqu barbhuiya | Firmbee
