El FBI ha publicado recientemente un informe de interés general en el que advierte al público y a los operadores de telefonía móvil de la amenaza que supone el intercambio de tarjetas SIM utilizado para robar dinero en efectivo y virtual.
Por: Austin Berglas, Jefe Global de Servicios Profesionales de BlueVoyant.
El Módulo de Identidad del Suscriptor (Subscriber Identity Module), o SIM, es un pequeño chip de memoria contenido en un dispositivo móvil que almacena información asociada al propietario de este. Las tarjetas SIM, que se transfieren fácilmente de un dispositivo a otro, contienen una cadena de números únicos que permiten al operador de telefonía móvil atribuir un dispositivo específico a una persona concreta; una vez transferidas a un nuevo dispositivo, lo más probable es que también se transfieran los ajustes personales y los contactos.
La transferencia física de la tarjeta SIM no es la única forma de cambiar de teléfono. ¿Qué pasaría si su tarjeta SIM fallara y tuviera que comprar una nueva? El propietario del teléfono tendría que llamar al operador de telefonía móvil y pedirle que asigne la nueva tarjeta SIM a su número de teléfono actual. Lo más probable es que el propietario tenga que responder a algunas preguntas de seguridad y, tal vez, facilitar un PIN para verificar que es el legítimo propietario del teléfono.
El intercambio de tarjetas SIM exige cierto esfuerzo. Históricamente, los objetivos han sido los individuos con grandes patrimonios y las personas en posiciones de poder e influencia, pero recientemente, el intercambio de SIM se ha generalizado. Tal vez estemos viendo un aumento de este tipo de delitos debido a la mayor atención de las fuerzas de seguridad a las bandas de ransomware.
Desde hace muchos años, el ransomware ha sido la principal amenaza cibercriminal, no obstante, con el aumento de la presión global para que las naciones tomen medidas contra los individuos y grupos que realizan ataques de ransomware, los cibercriminales pueden estar centrando sus esfuerzos en otros lugares en busca de una ocasión más certera.
En cuanto al ámbito financiero, una vez que los delincuentes se hacen con el control del número de teléfono de la víctima, utilizan las credenciales bancarias robadas para acceder a las aplicaciones bancarias móviles o a los monederos de criptomonedas para iniciar el retiro de los fondos.
Podrían validar con una contraseña de un solo uso enviada por la institución financiera a través de un mensaje de texto al número de teléfono del que se han apoderado recientemente.
Los delincuentes han utilizado el chantaje, el soborno y la manipulación social para obtener acceso al dispositivo del cliente.
Un método habitual es que el delincuente cree un perfil del cliente actual que contenga suficiente información personal identificable (PII) para autenticarse falsamente ante el representante de atención al cliente de la compañía. Esta información de identificación personal puede adquirirse fácilmente y a bajo coste en mercados de la dark web.
Lo que preocupa del intercambio de SIM es que la víctima rara vez hace algo mal: nunca ha hecho clic en un enlace de phishing ni ha introducido información personal en un sitio web falso. Las señales claras de que se ha sido víctima de un intercambio de SIM son que los teléfonos afectados ya no podrán hacer llamadas y no tendrán recepción.
Aunque es difícil estar en constante vigilancia ante una amenaza que a veces está fuera del control de los usuarios, hay formas de mitigar el riesgo. Es importante que las personas establezcan un código PIN para su cuenta de operador de telefonía móvil. Esto puede añadir un límite de protección para los ataques que se lanzan utilizando su PII robada.
Otra opción es el uso de aplicaciones de autenticación sobre la autenticación de dos factores basada en SMS. Estas aplicaciones de autenticación pueden asociarse a un dispositivo físico, no sólo a un número de teléfono. Una de las ventajas -además de no tener un mensaje SMS secuestrado- es que el individuo tendrá todos los códigos en una ubicación central y que estarán disponibles todo el tiempo, incluso cuando el teléfono esté desconectado.
Otras formas incluyen el uso de una llave de autenticación física para las cuentas críticas y la vigilancia, ya que una interrupción importante del servicio, como el fallo en la entrega de mensajes, debe abordarse urgentemente informando de la situación a su proveedor de servicios, supervisando las contraseñas de las cuentas en línea y comprobando las transacciones de las cuentas bancarias».
Austin Berglas, Global Head of Professional Services. Fue ex-agente especial adjunto a cargo de la rama cibernética de la oficina del FBI en Nueva York.