SIM swapping

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda

SIM swapping, duplicación de SIM[1]​ o suplantación de la tarjeta SIM[2]​ es un tipo de fraude realizado mediante la tarjeta SIM. Dicho fraude permite acceder a cuentas ajenas mediante la explotación de una debilidad en la autenticación de múltiples factores en la que el segundo factor es un mensaje de texto (SMS) o una llamada realizada a un teléfono móvil.

Cómo funciona el fraude[editar]

El fraude explota la capacidad de un proveedor de servicios de telefonía móvil para transferir un número de teléfono a un dispositivo que contiene una tarjeta SIM diferente. Esta función se usa normalmente cuando un cliente ha perdido o le han robado su teléfono, o está cambiando el servicio a un teléfono nuevo.

La estafa comienza con un defraudador que recopila datos personales sobre la víctima, ya sea mediante el uso de correos electrónicos de phishing, comprándolos a delincuentes organizados[3]​ o directamente manipulando a la víctima.[4]

Una vez que el defraudador ha obtenido estos datos, se pone en contacto con el proveedor de telefonía móvil de la víctima. El estafador utiliza técnicas de ingeniería social para convencer a la compañía telefónica de que transfiera el número de teléfono de la víctima a la SIM del estafador. Esto se hace, por ejemplo, haciéndose pasar por la víctima utilizando datos personales para parecer auténticos y alegando que ha perdido su teléfono. En algunos países, especialmente en India y Nigeria, el defraudador tendrá que convencer a la víctima de que apruebe el intercambio de SIM presionando 1.[5][6][4]

Incluso existen caso en que los números de SIM son cambiados directamente por empleados de empresas de telecomunicaciones que son sobornados por delincuentes.[7]

Una vez que esto suceda, el teléfono de la víctima perderá la conexión a la red y el estafador recibirá todos los SMS y las llamadas de voz destinadas a la víctima. Esto le permite al estafador interceptar cualquier contraseña de un solo uso enviada a través de mensajes de texto o llamadas telefónicas enviadas a la víctima, y así eludir cualquier característica de seguridad de las cuentas (ya sean cuentas bancarias, cuentas de redes sociales, etc.) que dependen de mensajes de texto o llamadas telefónicas.

Incidentes[editar]

Se han producido varios ataques de alto perfil mediante la suplantación de SIM, incluidos algunos en los sitios de redes sociales Instagram y Twitter. En 2019, la cuenta del director ejecutivo de Twitter, Jack Dorsey, fue pirateada a través de este método.[8][9]

En mayo de 2020, se presentó una demanda contra Ellis Pinsky, de quince años de edad procedente de Irvington (Nueva York). Fue acusado junto a otros veinte conspiradores de estafar 23.8 M$ al inversor en moneda digital Michael Terpin —fundador y director ejecutivo de Transform Group—, mediante el uso de datos robados de teléfonos inteligentes mediante duplicación de SIM. La demanda fue presentada en un tribunal federal en White Plains (Nueva York) y solicitó una indemnización por el triple de los perjuicios causados.[10][11]

Referencias[editar]

  1. ««duplicado de SIM», mejor que «SIM swapping»». www.fundeu.es. Consultado el 11 de febrero de 2021. 
  2. «Chile: Alertan ante aumento de ‘SIM Swapping’ o suplantación de la tarjeta SIM». TrendTIC. 11 de noviembre de 2020. Consultado el 10 de febrero de 2021. 
  3. Tims, Anna (26 de septiembre de 2015). «‘Sim swap’ gives fraudsters access-all-areas via your mobile phone». the Guardian (en inglés). Consultado el 22 de agosto de 2018. 
  4. a b «Many Bengalureans lose cash to sim card swap fraud - Times of India». Consultado el 22 de agosto de 2018. 
  5. «Experts Finger Insiders in Telcos for Rising SIM Swap Fraud – Nigerian CommunicationWeek». nigeriacommunicationsweek.com.ng (en inglés estadounidense). Consultado el 22 de agosto de 2018. 
  6. «You will be requested to press 1 or authenticate this Swap | Gadgets Now». Gadget Now. Consultado el 22 de agosto de 2018. 
  7. Franceschi-Bicchierai, Lorenzo (13 de mayo de 2019). «AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring». Vice News (en inglés). Consultado el 23 de enero de 2020. «Among the alleged criminals were also two former AT&T contract employees and one former Verizon employee, who helped the alleged criminals by providing private customer information in exchange for bribes, according to court documents.» 
  8. «How to Protect Your Phone Against a SIM Swap Attack». 
  9. Brandom, Russell (August 31, 2019). «The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account». The Verge. 
  10. Stempel, Jonathan (7 de mayo de 2020). «U.S. cryptocurrency investor sues suburban NYC teen for $71.4 million over alleged swindle». Consultado el 4 January 2021. 
  11. Nadeau, Barbie Latza (May 8, 2020) "15-Year-Old From Suburbs Led ‘Evil Computer Geniuses’ in $24M Cryptocurrency Heist: Lawsuit" Daily Beast