La Oficina Federal de Investigaciones (FBI) advierte sobre un gran aumento en las estafas que utilizan el intercambio de SIM de teléfonos inteligentes para defraudar a las víctimas.
El intercambio del módulo de identidad del suscriptor (SIM) es un viejo truco, pero el FBI ha emitido una nueva alerta al respecto debido a un aumento masivo en los casos reportados en 2021 en comparación con años anteriores.
Los teléfonos inteligentes son herramientas fundamentales para la autenticación en servicios en línea, como los bancos que utilizan SMS para códigos de inicio de sesión. Es un problema grave: si los delincuentes pueden hacerse con el control de estos servicios, pueden acceder al banco, al correo electrónico, a las redes sociales y a las cuentas bancarias de la víctima. Las quejas ante el Centro de Denuncias de Delitos en Internet (IC3) del FBI se han disparado durante el último año.
VER: Ciberseguridad: seamos tácticos (Informe especial de )
Desde enero de 2018 hasta diciembre de 2020, el FBI recibió 320 quejas relacionadas con incidentes de intercambio de SIM con pérdidas de aproximadamente 12 millones de dólares. En 2021, recibió 1.611 quejas por intercambio de SIM con pérdidas de más de 68 millones de dólares, advirtió el FBI en un nuevo anuncio de servicio público.
Los estafadores abusan de los servicios de soporte de los centros de llamadas de los operadores de redes móviles llamándolos y haciéndose pasar por clientes para obtener una nueva tarjeta SIM. La víctima no sabe que hay una nueva tarjeta SIM conectada a su número de teléfono, lo que les da a los atacantes el acceso que necesitan.
“Una vez que se cambia la SIM, las llamadas, los mensajes de texto y otros datos de la víctima se desvían al dispositivo del delincuente. Este acceso permite a los delincuentes enviar solicitudes de 'Olvidé mi contraseña' o 'Recuperación de cuenta' al correo electrónico de la víctima y a otras cuentas en línea asociadas con el número de teléfono móvil de la víctima”, advierte el IC3 del FBI.
“Utilizando la autenticación de dos factores basada en SMS, los proveedores de aplicaciones móviles envían un enlace o un código de acceso de un solo uso por mensaje de texto al número de la víctima, ahora propiedad del delincuente, para acceder a las cuentas. El delincuente utiliza los códigos para iniciar sesión y restablecer contraseñas, obteniendo control de cuentas en línea asociadas con el perfil telefónico de la víctima.”
Para mejorar la seguridad, muchas organizaciones utilizan mensajes SMS como forma de autenticación multifactor porque se supone que el propietario de la cuenta tiene control sobre el dispositivo. Los códigos entregados a través de SMS son convenientes debido a su alta adopción y a la creencia de que los SMS son mejores que simplemente depender de una contraseña que puede verse comprometida. El intercambio de SIM es una forma que tienen los delincuentes de eludir esta seguridad.
Como han argumentado Microsoft y otros, los SMS son una forma insegura y poco confiable de enviar códigos para autenticarse en cuentas en línea. Microsoft quiere que las organizaciones utilicen aplicaciones, como su Authenticator, porque son un objetivo más difícil de comprometer.
El FBI detalla las muchas formas en que los atacantes pueden no sólo engañar sino también atraer a los empleados de los operadores de redes móviles con objetivos nefastos. Desde la perspectiva del atacante, el aumento de las criptomonedas como Bitcoin y la dependencia de los intercambios de los teléfonos para la autenticación se suma al atractivo de las estafas de intercambio de SIM.
“Los actores criminales llevan a cabo principalmente esquemas de intercambio de SIM utilizando ingeniería social, amenazas internas o técnicas de phishing”, dice el IC3 del FBI.
El atacante a menudo se hace pasar por una víctima y engaña a los empleados del operador de telefonía móvil para que cambien el número de móvil de la víctima por una tarjeta SIM en posesión del delincuente.
“Los actores criminales que utilizan amenazas internas para llevar a cabo esquemas de intercambio de SIM pagan a un empleado de un operador de telefonía móvil para que cambie el número de móvil de una víctima a una tarjeta SIM en posesión del criminal. Los actores criminales a menudo utilizan técnicas de phishing para engañar a los empleados para que descarguen malware utilizado para piratear los sistemas de los operadores de telefonía móvil que realizan intercambios de SIM”, dice el IC3 del FBI.
El intercambio de SIM es un problema real. T-Mobile confirmó en diciembre que el intercambio de SIM estaba detrás de una importante violación de datos. Un ex empleado de un operador de telefonía móvil estadounidense fue sentenciado en octubre por aceptar sobornos de hasta 500 dólares al día para intercambiar números de teléfono. Los operadores también carecen de procedimientos para ayudar a los clientes cuando se convierten en víctimas de estafas de intercambio de SIM, como lo detalla en una cuenta personal de 2019 el especialista en telefonía móvil de , Matthew Miller. También es un problema global para las empresas de telecomunicaciones. Telstra de Australia ahora avisa a los bancos cuando se transfiere un número de móvil para contrarrestar los ataques de intercambio de SIM.
Los consejos del FBI para protegerse incluyen:
No anuncie información sobre activos financieros, incluida la propiedad o inversión de criptomonedas, en foros y sitios web de redes sociales. No proporcione su número de teléfono móvil ni información de su cuenta por teléfono a los representantes que le soliciten la contraseña o el PIN de su cuenta. Verifique quiénes son realmente marcando la línea de servicio al cliente de su proveedor de telefonía móvil. Evite publicar información personal en línea, como número de teléfono móvil, dirección u otra información de identificación personal. Utilice una variación de contraseñas únicas para acceder a las cuentas en línea.