Hay ahora un nuevo tipo de fraude que tiene que ver con tu tarjeta SIM. Esta sofisticada forma de fraude permite a los hackers acceder tus cuentas bancarias y números de tarjeta de crédito, así como tu información personal. Es difícil de identificar y muy difícil de deshacerse de ella.
Y está en crecimiento. De acuerdo a la Comisión para el Comercio de los Estados Unidos, hubo 1,038 incidentes de “SIM swap” (traduce algo como “cambio de SIM”) en enero del 2013, hubo 1,038 casos. En enero de 2016, se reportaron 2,658 casos.
Pero hay cosas que puedes hacer para protegerte.
¿Qué es el “SIM swap”?
La tarjeta SIM de un celular guarda los datos del usuario en teléfonos GSM. Son utilizados principalmente para autentificar las suscripciones a algún operador móvil. SIM swap es un tipo de robo de identidad que explota la vulnerabilidad más grande de las tarjetas SIM: el hecho de que puede funcionar en cualquier plataforma.
Según información brindada a Digital Trends por Andrew Blaich, un investigador de seguridad en Lookout, existen casos en los cuales los maleantes convencen a los representantes en la tienda que les den una tarjeta SIM para una cuenta que el atacante no posee.
Según Emma Mohan-Satta, una consultora en Kaspersky Labs entrevistada por Digital Trends, el hecho de que la autenticación de celular dependa de las tarjetas SIM, ha hecho que esta modalidad de fraude sea lucrativa.
“Una gran cantidad de usuarios tienen sus celulares sincronizados con sus cuentas bancarias, así que este tipo de ataque se está volviendo común en algunas regiones donde este tipo de ataques no lo eran”, afirma Mohan-Satta. “A diferencia del malware en los celulares, los ataques de fraude de tarjetas SIM son hechos en víctimas con altos ingresos que han ido identificadas previamente”.
Para efectuar una “SIM swap”, se requiere recolectar la mayor cantidad de información sobre la víctima. Pueden enviar emails de phishing que emulan los usualmente enviados por empresas reconocidas como tarjetas de crédito o seguros. La idea es tener acceso a sus nombres legales, fechas de nacimiento y números telefónicos. Infortunadamente, no muchas personas saben reconocer la diferencia entre los emails auténticos y los fraudulentos. Pueden también buscar información en las redes sociales.
Una vez tienen suficiente información, crean una identidad falsa. Primero llaman al operador y afirman que su tarjeta SIM se ha perdido o dañado. Posteriormente, piden al representante activar una tarjeta SIM o un número que poseen.
La mayoría de operadores no harán esto si el cliente no responde la información de las preguntas de seguridad. Y por eso es que los maleantes buscan toda la información posible sobre la víctima.
Una vez que ganan acceso al número de la víctima, los criminales se enfocan en la cuenta bancaria.
Muchos bancos envían un código de seguridad para acceder a una cuenta o cambiar una contraseña y recibir el código de acceso. “Esto quiere decir que el atacante puedes pedir y recibir el código de acceso a tu cuenta”.
Después, los maleantes cubren las transferencias utilizando un sistema paralelo en el que crean una segunda cuenta bajo el nombre de la víctima, en general un banco donde la misma ya tenga una cuenta y sea más fácil abrirla. Cuando se hace la transferencia, parece que estuviera siendo transferida a cuentas paralelas.
Cómo identificarlo
Es difícil detectar este tipo de fraude antes de que suceda. La mayoría de víctimas únicamente se dan cuenta cuando no pueden hacer una llamada o enviar algún mensaje, ya que la SIM card que tienen se desactiva.
Pero algunos bancos han empezado a tomar riendas en el asunto. “Hay varias técnicas para lograrlo como enviar alertas o aumentar los pasos para dar una nueva tarjeta SIM, hasta compartir conocimiento de esta modalidad con otras instituciones”, afirma Mohan-Satta.
“Los bancos pueden también buscar cambios en comportamientos a través de tecnología de análisis que indique que un dispositivo está siendo comprometido. De esta forma se puede evitar el envío de contraseñas a través de mensajes de texto.
Algunos bancos están utilizando la IMSI, un número único asociado a un celular específico GSM para asegurarse de que el código sea enviado al cliente legítimo. “Es posible identificar si hay una discrepancia entre tu número de tarjeta SIM y tu IMSI. Si la hay, el banco podría contactarte por correo electrónico para asegurarse de que seas tú”, afirma Warwick, cabeza de fraude para FICO en Europa, el medio oriente y África a creditcards.com.
Cómo prevenirlo
La mayoría de los operadores móviles en los Estados Unidos ofrecen protección contra esta modalidad de robo.
AT&T tiene una característica llamada “extra security” que te brinda una contraseña a cualquier celular e interacción con un representante de AT&T, que puedes habilitar en tu cuenta.
Sprint pregunta tu PIN y preguntas de seguridad cuando te comunicas con ellos.
T-Mobile permite a los usuarios crear un “care password” para contactar a los clientes por teléfono.
Verizon permite a los usuarios crear un PIN.
La forma más común de prevenirlo es aplicar el sentido común. Hay que evitar compartir mucha información en internet y revisar qué tipo de alertas tienes con tu banco y operador móvil con el fin de evitar que esto suceda.
Blaich sugiere habilitar la autentificación doble en cuentas donde haya información tuya, así como utilizar aplicaciones de mensajería con encriptación.
“Los usuarios pueden protegerse utilizando servicios que no utilizan mensajes de texto o SMS para sus códigos y utilizar aplicaciones como Google Authenticator y otro número de aplicaciones que proveen un servicio similar, ya que los SMS no son encriptados.
Si resultas víctima de este fraude, no es el fin del mundo, ya que actuar rápidamente podrá prevenir que los maleantes puedan robar todo tu dinero. Si tienes la sospecha de que has sido víctima de SIM swap, contacta inmediatamente a tu operador y banco.
