Los duplicados de tarjetas SIM por parte de grupos ciberdelincuentes especializados tienen consecuencias muy graves. Desde robo de credenciales e información de la víctima, hasta traspaso de fondos bancarios, petición de préstamos e, incluso, consecuencias empresariales.
El SIM Swapping es una ciberamenaza que afecta predominantemente a usuarios finales de dispositivos móviles y que se ha constituido como una forma de fraude (por suplantación) con el que un ciberdelincuente obtiene el duplicado de la tarjeta SIM asociada a la línea telefónica de un individuo, efectuando actividades de suplantación.
“Teniendo en cuenta la sencillez con la que se lleva a cabo esta ciberamenaza, y su alta probabilidad de éxito, se ha observado que actores cibercriminales sofisticados están comenzando a incorporar técnicas de SIM Swapping en sus campañas y se empiezan a observar las primeras trazas de actividad dirigidas hacia entornos empresariales”, explica Raquel Puebla, analista de ciberseguridad de Entelgy Innotec Security. Las campañas de SIM Swapping siguen un proceso de varias etapas. Las descubrimos con ayuda de la profesional de Entelgy Innotec Security, Raquel Puebla:
- Recopilación de información. Primero, el ciberdelincuente reúne información de la potencial víctima a la que se dirigirá la acción fraudulenta. Utilizará información procedente de fuentes abiertas y, muy especialmente, de las redes sociales que posea el individuo (nombre, apellidos, teléfono, dirección, etc.).
Obtención de credenciales. - Lo que permite el intercambio de SIM es obtener los códigos que habitualmente se emplean como segundo factor de autenticación. Para ello, previamente deben conseguirse las credenciales del servicio que resulta de interés para el atacante, para lo que se pueden efectuar actividades de phishing, pharming o spoofing.
- Suplantación de identidad. El ciberdelincuente se pone en contacto con el proveedor telefónico del individuo al que intenta defraudar, haciéndose pasar por el propietario de la tarjeta SIM que se quiere duplicar. Para ello también se utilizan tácticas de ingeniería social alegando, entre otras cosas, pérdida o sustracción de la tarjeta SIM.
- Desactivación de la SIM original. Por lo general, cuando se produce el duplicado de la SIM y la segunda tarjeta es activada, la que estaba siendo legítimamente utilizada se desactiva y su dispositivo móvil queda sin cobertura, lo que permite que un tercero malintencionado obtenga el control sobre el número de teléfono duplicado. En un pequeño porcentaje de las situaciones el atacante solicita la activación de un servicio multiSIM, en cuyo caso funcionarían tanto la tarjeta del atacante como la del legítimo dueño, volviéndose mucho más difícil la detección y subsanación de la suplantación de identidad.
- Estafas. Tras las acciones anteriores, el atacante efectúa toda clase de estafas y fraudes que afectan al individuo que está siendo víctima de la suplantación. Es común que los ciberdelincuentes se centren en obtener accesos a servicios de banca en línea y que, posteriormente, realicen transferencias desde los fondos de la víctima, e incluso contraten préstamos a su nombre sin su autorización real.
- Contraseñas de uso único. Para lograr que el procedimiento anterior concluya con éxito, los atacantes solicitan el envío de una contraseña de uso único (código OTP) mediante mensajería SMS y que habitualmente es empleada por las entidades financieras como doble factor de autenticación. Al tener acceso a la tarjeta SIM duplicada, los atacantes pueden visualizar dicho mensaje, que en teoría solamente debería ser transmitido al titular de la línea, empleándolo para acceder a la cuenta bancaria del individuo.
- Credenciales de redes sociales. Entre otras posibilidades, también es común que el ciberataque de SIM Swapping concluya con la obtención de las credenciales de acceso a la cuenta de correo electrónico del usuario o a las que corresponden con sus perfiles en redes sociales.
A pesar de que este tipo de acciones sigue una preparación muy exhaustiva, cada vez son más los afectados por ellas. Por tanto, se recomienda mayor concienciación individual en ciberseguridad como primera medida de protección frente a las estafas de SIM Swapping, ya que el ser humano sigue siendo el eslabón más frágil dentro de la cadena de seguridad.