Los usuarios de dispositivos móviles están expuestos a un tipo de fraude llamado SIM swapping (o intercambio de tarjeta SIM), que está en franco crecimiento. En otro artículo xplicamos en detalle cómo funciona este tipo de estafa, pero en esencia los delincuentes obtienen la información personal de los usuarios mediante ataques de phishing u otras técnicas de ingeniería social, y también a través de la captura de datos de las redes sociales. Y una vez que se hacen de estos datos, buscan cancelar la tarjeta SIM del teléfono de la víctima y activar otra SIM que obra en su poder. Si lo logran, todas las llamadas y mensajes dirigidos hacia el número del cliente estafado se dirigirán hacia el teléfono de los estafadores, incluidas las contraseñas de un solo uso (OTP), que luego les permitirán acceder a las cuentas bancarias de la víctima.
Mediante el SIM swapping los delincuentes toman el control de la tarjeta SIM de una persona sin su autorización, para usurpar su identidad y acceder a sus cuentas en línea.
El incremento de esta clase de fraude no es responsabilidad directa de los bancos. Pero sus clientes pueden verse muy perjudicados, ya que cada vez son más los que operan con sus cuentas a través de sus celulares. Al respecto basta decir que un estudio reciente realizado en siete países latinoamericanos encontró que el 88% de las personas usan sus teléfonos móviles para realizar transacciones y la mayoría (55%) prefiere usar un canal móvil para abrir una cuenta.
Frente a este panorama para las entidades financieras el gran tema es cómo reconocer el caso en que el número de celular de un cliente fue intercambiado de forma delictiva y transferido a un nuevo dispositivo, de forma tal de poder bloquear automáticamente a un cliente para que no reciba un OTP si se determina que corre riesgo de sufrir un fraude.
Medidas posibles
Obviamente en estos contextos los propios clientes bancarios también deben estar atentos y tomar sus propias precauciones, y es importante que se genere conciencia al respecto. En tal sentido es fundamental que mantengan la información personal segura y tengan cuidado con las llamadas o mensajes sospechosos que soliciten datos personales o cambios en la cuenta telefónica.
Pero, por otro lado, para detener esta amenaza las entidades financieras deberían implementar controles de intercambio de SIM en todos los servicios que generan un OTP para autorizar transacciones. Es decir: los bancos pueden implementar controles de seguridad antes de enviar un OTP al número de teléfono de una persona; para ello pueden aprovechar los datos móviles disponibles, como el historial de intercambio de SIM de un número de teléfono, detectar intercambios de SIM y generar señales de alerta.
El rol de los Operadores Celulares
El punto es que los datos antedichos pertenecen a los operadores de telefonía móvil. Por lo tanto, para concretar estos controles, las entidades financieras tendrán que generar alianzas con los operadores de telefonía móvil. Al acceder a esa información los bancos luego podrán recurrir a herramientas de detección de fraude que les permitan analizar los datos históricos de la red móvil de los clientes, lo que a su vez les ayudará a verificar la autenticidad de las transacciones y comunicaciones.
De hecho, los operadores telefónicos ya vienen realizando acciones para prevenir y combatir el SIM swapping. Entre otras cosas lanzaron diferentes normas y procedimientos dirigidos a procesar y proveer a empresas homologadas la información crítica sobre el comportamiento de sus usuarios, que puede servir para evitar estos fraudes.
Desde Plusmobile trabajamos en alianza con estos operadores y podemos ayudar a los bancos con nuestra solución API Mobile Verify, que permite saber si hubo un cambio del chip SIM en los últimos 90 días e informa la fecha en que sucedió. Además, permite saber si hubo un cambio de un operador a otro, y la fecha de activación en el operador celular actual. Al mismo tiempo estamos avanzando con un desarrollo más integral de verificación de identidad (mobile identity) que chequea que el celular sea utilizado por la persona dueña de la línea sin duplicaciones. Estas soluciones están orientadas al mercado bancario y fintech y ayudan a resguardar la seguridad de las cuentas de los clientes de las entidades financieras.
