¿Qué es el SIM Swapping y cómo puede afectarte?

Marta Sanz Romero

Ser víctima del SIM Swapping puede acarrear muchos problemas. Es un tipo de ataque informático que brinda las puertas de nuestra vida a los delincuentes a través de la tarjeta SIM que llevamos en el móvil.

La palabra swapp en inglés significa intercambio, pero para entenderlo mejor en español deberíamos traducirlo como duplicado. El Sim Swapping consiste en duplicar la tarjeta SIM de nuestro móvil y, a través de ella, robarnos nuestra identidad.

Son muchos los casos que durante años han testificado los efectos de este tipo de ataques. El simple duplicado de la tarjeta puede parecer una tontería, pero sus consecuencias son una cadena de desastres muy difíciles de recomponer.

Si comienzas a tener problemas con la cobertura en el teléfono, lo que menos piensas en tus ahorros, la mayoría le echaría primero la culpa a su móvil o a la compañía telefónica. Sin embargo, pueden estar relacionados. Cuando se duplica una tarjeta SIM, la primera deja de funcionar y todas las llamadas, mensajes y línea de datos pasan al duplicado. Aquí es cuando la mayoría de víctimas se dan cuenta de que algo no va bien y avisan a su operadora. Pero el problema es aún más grave.

A través de la tarjeta SIM, los ciberdelincuentes pueden conseguir un gran número de datos personales y hacerse con el control de redes sociales, cuentas bancarias o suscripciones de pago. Es un tipo de ataque bastante habitual, hace aproximadamente un año el creador de Twitter Jack Dorsey fue víctima de esta técnica y los delincuentes pudieron acceder a su cuenta en la red social y publicar algunos mensajes suplantando su identidad, claro que esto es lo mejor que nos podría pasar.

John Cursi en su canal de YouTube explica la pesadilla que vivió cuando le duplicaron la tarjeta SIM. Los piratas informáticos tardaron poco más de una hora en poner su vida patas arriba y robarle a través de servicios criptografiados muy difíciles de perseguir.

Al duplicar la tarjeta SIM y recibir tus SMS, los delincuentes pueden hacer uso del sistema de autentificación en dos pasos y cambiar contraseñas o hacer movimientos en tus cuentas bancarias. La autentificación en dos pasos, para el que no lo sepa, consiste en mandar un SMS al móvil con una clave para verificar que eres tú quién pretende hacer cambios en la cuenta, pero en este caso la clave acabaría en manos de los delincuentes.

Realizar el duplicado es rápido y particularmente sencillo. Es un proceso que puedes solicitar tú mismo, pero necesitas tener algunos datos personales. En la mayoría de los casos son las propias víctimas las que dan sin querer esos datos a los atacantes, mediante técnicas de engaño.

Los ciberdelincuentes utilizan la ingeniería social para manipularnos y a través de correos electrónicos falsos y ofertas muy jugosas nos piden los datos. Otros ataques informáticos como el phishing se basan en estas técnicas de engaño y son los que les dan la información para realizar el SIM Swapping.

¿Qué podemos hacer nosotros para evitar ser víctimas de estos ataques?

Antes de daros algunos consejos, es importante dejar claro que no hay una metodología que nos asegure al 100% que vayamos a evitar estos robos. Conocerlos y saber que puede pasarnos es el mejor escudo que podemos crear para estar alertas ante cualquier síntoma de que nos están estafando.

Estando al tanto de las noticias de ciberseguridad como usuarios podemos conocer las técnicas de phishing y evitarlas: no contestar correos de gente que no conocemos, no dar información personal en redes sociales o en páginas que no sean seguras, etc.

En segundo lugar, si detectas que tu tarjeta SIM no funciona o que tienes mensajes extraños sobre movimientos que tu no has realizado, avisa a tu operadora y comprueba si se trata de un duplicado ilegal. En ese caso, revisa rápidamente todas tus cuentas bancarias y otros servicios como redes sociales o suscripciones y, lo más importante, cambia la contraseña. Si es necesario cambia todas las contraseñas que tengas.

Ante este tipo de ataque la verificación en dos pasos ha demostrado no ser del todo segura. Puede ser útil, pero es mejor no depositar toda la responsabilidad en este sistema y en nuestro móvil. Algunas aplicaciones o sistemas permiten que usemos el lector de huellas para identificarnos, así no dependemos únicamente de los sms.

Por otro lado, contar con un gestor de contraseñas

Como LastPass o 1Password son de gran ayuda en estos casos. Suponen una caja fuerte en la que guardar una lista completa de nuestras contraseñas para no olvidarnos nunca de ellas y poder revisar todas las que tenemos de manera rápida, por si nos las han cambiado los atacantes.

También podríamos recomendar otros sistemas de autentificación «algo más robustos» que los SMS o las huellas dactilares, estamos hablando de las llaves de seguridad. Titan de Google es uno de los ejemplos más conocidos, pero hay otros modelos disponibles.

Estas llaves físicas en forma de USB se basan en la autentificación en dos pasos, pero en vez de ser un correo o SMS con un código que te pueden robar a distancia, tienes una llave como la de casa con la que identificarte en cualquier dispositivo.

Por último, si al final eres víctima de robos como estos y detectas movimientos extraños en tu cuenta bancaria, debes avisar al banco y a la policía inmediatamente. Necesitarán toda la información que puedas recopilar como gastos que tú no has realizado, mensajes, accesos desde otros dispositivos o correos sospechosos para perseguir a los delincuentes.

Comentarios