¿Qué es el SIM Swapping y qué riesgos entraña?
Cuando oímos hablar de ciberataques pensamos en ellos cómo un suceso ajeno que sufren grandes empresas. Sin embargo, todos podemos ser víctima de un ciberataque y, en consecuencia, sufrir graves perjuicios en el ámbito de nuestra privacidad y nuestra economía. Es fundamental contar con los conocimientos y herramientas necesarias para prevenir, detectar y responder adecuadamente ante el posible incidente.
Hoy vamos a hablar de uno de los ciberataques que ha aumentado en los dos últimos años: el “SIM-Swapping”, también conocido como el duplicado de la SIM.
Nuestro mayor temor ante la pérdida o robo de nuestro teléfono suele estar relacionado con el contenido de la galería de fotos o la pérdida de nuestras cuentas en las redes sociales, pero solemos olvidar la relevancia que tiene la tarjeta SIM en nuestra privacidad y el interés económico que ésta presenta para un ciberdelincuente.
Al realizar de forma fraudulenta un duplicado de nuestra SIM, el delincuente tiene la posibilidad de acceder a muchos de nuestros datos personales: puede suplantar nuestra identidad, acceder a las cuentas bancarias, realizar pagos y transferencias a otras cuentas de su titularidad, e incluso hacerse con el control de todas aquellas aplicaciones y servicios, como el correo electrónico, redes sociales, suscripciones de pago o plataformas entre otras, que utilicen el sistema de autenticación en dos pasos, es decir, el envío de un código a través de SMS para recuperar la contraseña de acceso.
¿Cómo detectar el SIM Swapping?
Cuando se duplica la tarjeta SIM automáticamente la primera deja de funcionar quedando activo únicamente el duplicado.
Quedarte sin cobertura, no tener servicio de datos y no poder realizar o recibir llamadas y SMS son los principales indicios del SIM Swapping. Si esto ocurre, lo primero que hay que hacer es contactar con la operadora para comprobar si esto se ha producido a consecuencia de un fallo en la compañía o en nuestro teléfono o si por el contrario se ha realizado un duplicado de la SIM.
¿Cómo actuar ante el duplicado de mi tarjeta SIM?
Si nuestra operadora nos confirma que efectivamente se ha realizado el duplicado es muy importante que actuemos con rapidez para minimizar así los riesgos derivados de este ataque, siguiendo los siguientes pasos:
– Solicitar de forma inmediata a nuestra operadora que bloquee la tarjeta SIM puesto que no hemos realizado ni autorizado el duplicado.
– Una vez solicitado el bloqueo del duplicado es fundamental que cambiemos rápidamente todas las contraseñas.
– Además de cambiar la contraseña para evitar que el ciberdelincuente se haga con el control de nuestras cuentas, debemos eliminar nuestro número de teléfono de todas aquellas aplicaciones que utilicen el sistema de autenticación en dos pasos.
– Contactar con la oficina bancaria para reportar de forma urgente el incidente, y solicitar, para el caso de que habitualmente operemos a través de la aplicación del banco, que dicho aplicativo sea bloqueado, o, como mínimo, restringido a consultas quedando paralizadas las operaciones transferencias hasta que podamos recuperar nuestra SIM.
– Revisar si se han producido movimientos extraños en nuestras cuentas bancarias. De ser así, debemos avisar a nuestro banco y a la policía.
– Con el duplicado de SIM el ciberdelincuente puede acceder a todos los contactos de nuestro teléfono, así como los del correo electrónico por lo que es importante comprobar si hay envío de mensajes o correos sospechosos desde nuestro número de teléfono o correo y advertir a nuestros contactos.
– Comprobar el historial de geolocalización. Muchas aplicaciones cuentan con un registro de localización con el que podemos controlar dónde y cuándo se ha utilizado ese servicio, esto nos permite conocer si un tercero está accediendo a nuestra información.
– Si el delito se perpetúa en una SIM perteneciente a la empresa en la que trabajas, debes reportarlo de forma urgente a tu responsable y/o al departamento informático, también debes comunicarlo al delegado de protección de datos si se hubiere designado, para que sean ellos quienes actúen rápidamente, puesto que el tiempo de respuesta es vital para evitar pérdida económicas y reputacionales a la compañía.
– De todo lo que hagamos, en especial del reporte del incidente al banco, a la compañía telefónica, o a la empresa, debemos guardar evidencias, es decir, si les hemos llamado por teléfono, deberíamos además enviarles un email para dejar constancia de dicho reporte. Ello con el fin de presentar la correspondiente denuncia ante la policía, y solicitar posibles responsabilidades a la compañía telefónica y a la entidad bancaria.
¿Cómo puedo evitar el SIM-Swapping?
Realizar un duplicado de SIM es un proceso para que el solo se necesitan algunos datos: nombre del titular de la línea, DNI e incluso el número ICC que es el número identificador de la tarjeta SIM. En muchos casos somos nosotros mismos los que proporcionamos esos datos al ciberdelincuente a través de las denominadas “técnicas phishing”. Es decir, a través de los métodos que utilizan los ciberdelincuentes para obtener nuestros datos personales: correos spam, publicidad maliciosa, manipulación de enlaces, páginas web fraudulentas o directamente a través de un virus.
Para reducir el riesgo asociados a este tipo de técnicas y evitar que los ciberdelincuentes adquieran nuestros datos personales, debemos estar alerta y no contestar a mensajes o correos electrónicos sospechosos o desconocidos, así como no publicar nuestros datos personales en páginas webs o redes sociales.
En lo que respecta a las empresas, éstas deben contar con un plan de protección de datos efectivos que incluya protocolos y medidas técnicas adecuadas al riesgo para evitar el SIM-Swapping. Además las empresas deben formar e informar a los empleados a los que se ha asignado un móvil corporativo para ayudarles a prevenir y gestionar adecuadamente estos incidentes.
Para reforzar la seguridad ante este posible ataque, es recomendable establecer una contraseña o PIN para poder desbloquear la tarjeta SIM y evitar utilizar el sistema de autenticación en dos pasos basado en el envío de una clave o código al teléfono para recuperar la contraseña de diversas cuentas. La autenticación en dos pasos sigue siendo una herramienta importante para proteger nuestra información, pero es cada vez menos recomendable que ese segundo paso consista en la recepción de un SMS, puesto que en fraudes como el SIM Swapping, implica abrir la puerta a nuestra información. Algunos sistemas están cambiando este método por la autenticación en dos pasos mediante la verificación de la huella dactilar, o mediante la recepción de un correo electrónico, lo que refuerza la seguridad de nuestro teléfono.
Cada vez son más las compañías telefónicas, como Movistar, que no permiten la solicitud de un duplicado de tarjeta de forma online por motivos de seguridad, sólo puede realizarse en la tienda física por parte del titular de la línea o una persona autorizada por el mismo de forma que pueda corroborarse la identidad y legitimidad de quién solicita el duplicado.
A pesar de esto, no estamos exentos de que nos pueda ocurrir. El propio Jack Dorsey, creador de Twitter, sufrió recientemente este tipo de ciberataque, duplicaron su SIM y se hicieron con el control de su cuenta en Twitter publicando una serie de tweets haciéndose pasar por él. Por todo ello, cuántas más medidas apliquemos, más reforzada estará la protección de nuestra información.
Alicia Garrido
Asesora en Umbra Abogados