Los ataques de intercambio de SIM, también llamados SIM swapping, se están transformando en un dolor de cabeza en muchos puntos del planeta. Estos actos delictivos involucran un robo de identidad, mediante el cual los atacantes obtienen el control del número de teléfono móvil de una víctima, transfiriéndolo a una nueva tarjeta SIM. Es decir que “secuestran” el número de teléfono y luego lo transfieren a un dispositivo de su propiedad. Y una vez que consiguen hacerse del control, puede usarlo para restablecer contraseñas de cuentas en línea e interceptar códigos de autenticación de dos factores (por ejemplos mensajes SMS que funcionan como códigos de verificación de un solo uso, u OTP). Y luego puede utilizar los datos para acceder a las cuentas de la persona o la empresa, a información confidencial, a comunicaciones privadas y más.
En otra nota explicamos detalladamente cómo es que los delincuentes logran concretar el intercambio de SIM. A grandes rasgos se puede decir que utilizan técnicas de ingeniería social, se hacen pasar por la víctima ante el operador de telefonía móvil (para lo cual usan los datos que obtuvieron) y se las ingenian para engañar a los empleados de la telefónica para que les emitan una nueva tarjeta SIM con su número.
Este tipo de fraude puede afectar tanto a los particulares como a las empresas. Si los delincuentes toman el control del número de móvil de un empleado, por caso, podrían usarlo para restablecer las contraseñas de las cuentas en línea de la compañía, interceptar códigos 2FA (factores de autenticación) y realizar transacciones fraudulentas.
Impacto mayor
El costo generado por este tipo de amenaza se incrementó de manera constante durante los últimos cinco años. Por ejemplo, una estimación indica que, mientras que en 2019 el costo global ascendió a U$S 1000 millones, en 2023 ya había alcanzado los U$S 6.500 millones.
Según este análisis, en 2023 el costo habría llegado a U$S 2.500 millones en Estados Unidos, a U$S 1000 millones en el Reino Unido, a U$S 700 millones en India y a U$S 500 millones tanto en China como en Japón.
De todas formas el analista que elaboró la estimación destacó que es probable que el impacto haya sido incluso mayor, ya que muchas víctimas particulares no suelen denunciar el delito, y muchas empresas no revelan el daño ocasionado, entre otras cosas, porque el hecho de informar que fueron vulneradas puede afectar su reputación.
Sea como fuere, la realidad es que hasta aquí las cifras informadas por los organismos oficiales fueron bastante menores. Por ejemplo, en 2021 el FBI anunció que los ciudadanos estadounidenses perdieron más U$S 68 millones debido a los ataques de intercambio de SIM, derivados de un total de 1611 ataques (lo que da un promedio superior a U$S 42 mil por ataque). Este dato representaba un aumento del 400% en las quejas recibidas en comparación con los tres años anteriores. Luego en 2022 el FBI informó que las pérdidas ascendieron a U$S 72 millones, con más de 2000 víctimas de este tipo de fraude.
Casos que preocupan
Algunos casos indican que la sofisticación de estos ataques también crece. Por ejemplo, en 2022 se produjo al mayor robo de criptomonedas de la historia mediante SIM swapping, que involucró unos U$S 400 millones.
Por su parte en octubre de 2023 se informó el caso de un estafador que se llevó U$S 385 mil en criptomoneda Ether. Y un mes más tarde se conoció el robo de más de 110 mil euros a 15 personas mediante la duplicación de tarjetas SIM en las provincias de Valencia y Alicante, España.
A fines de 2023 también fue detenida una banda en la ciudad de Córdoba, Argentina, acusada de haber montado una organización que efectuaba estafas de SIM swapping en diferentes provincias del país. Esta banda se apoderaba de las líneas telefónicas ajenas utilizando documentación apócrifa. Simulando ser los reales propietarios de la línea, llamaban a las compañías y aducían que habían perdido el teléfono o que se lo habían robado, por lo que solicitaban un nuevo chip con el mismo número (tarjeta SIM) y que se diera de baja el anterior”.
Para prevenir estos delitos es importante que se trabaje sobre la concientización de los particulares y los empleados de las empresas. También es fundamental que se refuercen las políticas de seguridad de la información de las organizaciones. En otro artículo ya explicamos cómo evitar que los clientes de los bancos sean víctimas de este tipo de fraude.
Últimamente los operadores celulares vienen llevando adelante acciones para prevenir y combatir el SIM swapping, apoyándose en integradores como Plusmobile que ofrece una aplicación específica (API Verify) para protegerse contra estos ataques. Esta herramienta ofrece la posibilidad de verificar un eventual intercambio de SIM en todos los servicios que generan un OTP para autorizar transacciones.
Desde Plusmobile trabajamos activamente con las tres compañías de telefonía móvil que operan en el mercado argentino para ofrecer nuestra solución a bancos y empresas. En el corto plazo promoveremos su implementación en otros países de la región, como Perú, Colombia, Paraguay y Uruguay.
