La Secretaría de Seguridad Ciudadana de la Ciudad de México (SSC) ha alertado a los usuarios del fraude “SIM Swapping” como la duplicación de la tarjeta SIM con la intención de suplantar la identidad de clientes de instituciones bancarias por medio del número telefónico y, de esta forma, acceder a las cuentas bancarias ligadas al dispositivo móvil.
El Instituto Federal de Telecomunicaciones (IFT), a través de su área de ciberseguridad, dio como referencia que los delincuentes siguen un patrón: identifican a su víctima: En la mayoría de los casos los ciberdelincuentes o atacantes cuentan con información que les permite identificar a sus potenciales víctimas y, a su vez, contestar preguntas para hacerse pasar por ellos e identificar el número de teléfono móvil de la víctima y su operador.
Como parte del patrón, cambian la tarjeta SIM: Por medio de ingeniería social el ciberdelincuente o atacante persuade a un representante del servicio de atención al cliente de la compañía de telefonía móvil para transferir el número de teléfono de la víctima a una nueva tarjeta SIM que está bajo el control de los atacantes.
Te podría interesar
Realizado lo anterior, según el IFT, el atacante inicia el restablecimiento de las contraseñas de las cuentas de correo electrónico, de almacenamiento en la nube y de las redes sociales de la víctima que se encuentran ligadas al teléfono móvil (el restablecimiento de las contraseñas suele realizarse mediante mensajes de texto al número de teléfono de la víctima). Así el atacante accede a las cuentas de la víctima e identifica las claves, las carteras y las cuentas que puedan estar almacenadas en ellas.
¿Qué es el SIM Swapping?
La Secretaría de Seguridad Ciudadana de la Ciudad de México (SSC) reconoce al “SIM Swapping” como la duplicación de la tarjeta SIM2 con la intención de suplantar la identidad de clientes de instituciones bancarias por medio del número telefónico y, de esta forma, acceder a las cuentas bancarias ligadas al dispositivo móvil.
¿Cómo funciona?
Los atacantes o ciberdelincuentes que recurren al método “SIM Swapping” siguen un patrón en su actuar:
- Identificar a la víctima: En la mayoría de los casos los ciberdelincuentes o atacantes cuentan con información que les permite identificar a sus potenciales víctimas y, a su vez, contestar preguntas para hacerse pasar por ellos e identificar el número de teléfono móvil de la víctima y su operador.
- Cambiar la tarjeta SIM: Por medio de ingeniería social el ciberdelincuente o atacante persuade a un representante del servicio de atención al cliente de la compañía de telefonía móvil para transferir el número de teléfono de la víctima a una nueva tarjeta SIM que está bajo el control de los atacantes.
- Restablecimiento de contraseñas: Realizado lo anterior, el atacante inicia el restablecimiento de las contraseñas de las cuentas de correo electrónico, de almacenamiento en la nube y de las redes sociales de la víctima que se encuentran ligadas al teléfono móvil (el restablecimiento de las contraseñas suele realizarse mediante mensajes de texto al número de teléfono de la víctima).
- Acceder a las cuentas: El atacante accede a las cuentas de la víctima e identifica las claves, las carteras y las cuentas que puedan estar almacenadas en ellas. Elimina cualquier autentificación de dos factores basada en SMS o en aplicaciones móviles en cualquier cuenta con el control del número de teléfono de la víctima.
- Robo: El atacante, en el caso de las cuentas bancarias, transfiere los fondos de la cuenta de la víctima a cuentas controladas por los atacantes
Modus Operandi
De acuerdo con la Condusef, este es el modus operandi en este fraude:
- Algún tercero solicita a la compañía telefónica el cambio de tarjeta SIM por un presunto daño, extravío o pérdida.
- Una vez que se concretó este proceso, la supuesta persona titular de la línea acude con una identificación falsa para recoger el chip y con ello tener acceso a números telefónicos, cuentas bancarias, información en la nube, entre otros datos.
- La supuesta persona titular, teniendo en su poder la tarjeta SIM, pueden iniciar sesión en cuentas que usan mensajes de texto como una forma de autenticación, simplemente porque reciben los mensajes con los códigos de verificación.
- Es posible que este tipo de acto ilícito no sea exclusivo para la obtención de información bancaria, puesto que también se puede tener acceso a los contactos e información personal contenidos en el dispositivo móvil.
Consecuencias
Existen diversas consecuencias al ser víctima de la ingeniería social, y en específico del “SIM Swapping”, como las siguientes:
- Tratamiento indebido de datos personales. Pérdidas financieras.
- Robo de cuentas asociadas al dispositivo móvil.
Recomendaciones
El Instituto Federal de Telecomunicaciones (IFT) da las siguientes recomendaciones:
- Añadir una clave o PIN de seguridad u otros mecanismos de autenticación para desbloquear la tarjeta SIM del teléfono y evitar compartirlo con terceras personas.
- Evitar guardar información de carácter confidencial en la tarjeta SIM
- para que la persona ciberdelincuente que llegue a tener acceso a ella no pueda obtener los datos almacenados.
- Utilizar aplicaciones de banca móvil para consultar sus estados de cuenta, realizar transferencias y revisar sus movimientos bancarios con f recuencia.
- Usar una red virtual privada para navegar desde el móvil u otros dispositivos y practicar la navegación segura.
- Tener cuidado con los correos, llamadas o mensajes de remitentes desconocidos, los archivos adjuntos sospechosos o las páginas web de dudosa fiabilidad y evitar realizar descargas desde estos.
- Minimizar los datos personales que compartimos en internet.
- Evitar utilizar contraseñas únicas: Protege las cuentas en línea con contraseñas robustas y no reutilices la misma contraseña en todas las cuentas.
- Cambiar claves y contraseñas de forma periódica
- Si eres víctima de “SIM Swapping” o simplemente percibes que el chip del teléfono celular dejó de funcionar, debes comunicarte con el proveedor de servicios de telefonía móvil para recuperar el control del dispositivo.
- Ten a la mano tu número IMEI (Identidad Internacional de Equipo Móvil), es decir, el código numérico que identifica a cada celular. Esto te servirá para bloquearlo en caso de robo o extravío. Para obtener el IMEI, marca *#06# desde el teclado telefónico de tu celular.