SIM Swapping, la amenaza a la seguridad de pagos electrónicos

Generalmente advertimos sobre las distintas formas de ciberataques, cómo prevenirlos y cómo actuar ante ellos. Tenemos claro, o al menos ya deberíamos tenerlo, el nivel de exposición al que nos encontramos ante este tipo de ataques. En este artículo hablaremos precisamente de las consecuencias del robo de información personal, generalmente asociada a números de tarjetas de crédito, datos económicos, de salud, etc. Concretamente hablaremos de un modo de ataque intermedio, que aprovecha datos personales previamente sustraídos para poder obtener un mayor botín gracias a su posterior uso.

El SIM Swapping (cambio de SIM en español) consiste en ganar el control de la tarjeta SIM de nuestro móvil, con el objetivo de realizar operaciones en nuestro nombre o, mejor dicho, autorizarlas. ¿Cómo se efectúa este ataque? Básicamente consta de tres pasos:

1. Previo al SIM Swapping, y por cualquier otro medio de robo de datos personales como el Phishing, recolección de datos a través de redes sociales, brechas de seguridad, etc., el atacante obtiene los datos necesarios para iniciar un cambio de SIM a través de la operadora de telefonía que tenemos contratada.

2. Una vez en poder de dichos datos, el delincuente contacta con la operadora mediante la intranet o por teléfono, y solicita una portabilidad de nuestro número de teléfono móvil, hacia una SIM que el atacante tiene preparada para ello.

3. Una vez el número de teléfono ya está “portado” a la nueva SIM, el delincuente podemos decir que ya tiene el control total de nuestra línea de teléfono.

¿Cuáles son los motivos para efectuar un SIM Swapping? Precisamente la incorporación de la nueva directiva europea de servicios de pago, conocida como PSD2, añadió una capa de seguridad extraordinaria para garantizar la identidad de los usuarios de tarjetas de pago. Al querer finalizar una compra con nuestras tarjetas, los bancos remiten un SMS a nuestro número móvil solicitando introducir la clave remitida para completar la operación. Pues bien, como el atacante ya ha adquirido previamente nuestros datos, podrá realizar compras con los datos de nuestra tarjeta de crédito, en nuestro nombre, y saltando la barrera de seguridad que supone la validación por SMS.

Es por ello que muchas entidades bancarias optan por la instalación de Apps en nuestro móvil, que se encargan de la validación de cualquier operación bancaria que requiere nuestra autorización, eliminando la incipiente peligrosidad del SMS como método único de seguridad.

Debemos estar muy alerta a las señales que se producen cuando nos han realizado un ataque de SIM Swapping:

- Obviamente nuestra operadora nos mandará mensajes o nos llamará para autorizar el cambio de número a la nueva SIM. Si ignoramos estas llamadas facilitamos el proceso de cambio.

- Comenzaremos a perder cobertura y tendremos cortes intermitentes de comunicaciones.

- Por último, una vez adquirido nuestro número de teléfono, comenzaremos a registrar cargos no previstos en nuestra cuenta bancaria, incluso tendremos altas en servicios en la nube (correos electrónicos, redes sociales, etc.) en nuestro nombre.

En conclusión, podemos en este ejemplo cómo un atacante puede utilizar nuestros datos personales, previamente sustraídos, para cuestiones mucho más concretas y dirigidas. Toda precaución es poca, así que no nos confiemos y comprobemos cualquier actividad sospechosa, por muy leve que parezca.

Xavier Ferretjans

Director BINAURAMONLEX

xferretjans@binauramonlex.com