Check Point Software señala tres claves para evitar el SIM swapping: un ciberataque que roba la identidad del usuario
La práctica SIM swapping tiene como principal misión burlar seguridad de los sistemas de verificación en dos pasos que tienen algunas webs y servicios, que lo utilizan como una capa extra de seguridad. De hecho, en España se llevó a cabo una operación policial en febrero de 2022 para detener a una organización criminal dedicada al fraude bancario mediante SIM swapping.
Check Point Software Technologies quiere alertar de los peligros que supone este formato de amenaza. Como para lograr realizar un duplicado de una tarjeta SIM son necesarios datos como el DNI, número de teléfono, nombre completo o, incluso, el carné de identidad físico… los ciberdelincuentes se sirven del phishing para obtenerlos. La parte más difícil, sin embargo, es la de hacer el duplicado. Es aquí cuando los atacantes acuden a las operadoras que permiten sustituir la tarjeta por una nueva a través de internet o por teléfono, aunque en algunos casos han llegado a dirigirse a una tienda física haciéndose pasar por la víctima.
Una vez obtenido el duplicado mediante SIM swapping, el atacante tan solo tiene que introducir la tarjeta inteligente en un dispositivo para acceder a toda la información y datos de la cuenta de la víctima. Desde las llamadas, hasta incluso los SMS. A partir de ese momento, tiene un control completo. Acceder a su app del banco y robar su dinero realizando transacciones a otras cuentas será sencillo. Además, aunque sea necesario incluir un código de verificación para hacerlo, el atacante tiene acceso a la línea móvil del cliente, con lo que sólo tiene que, copiar y pegar el código que recibe.
Ante esta situación, Check Point Software quiere aportar los consejos necesarios para evitar este peligro y que los usuarios cuenten con las herramientas necesarias para poder protegerse:
- Mucho cuidado con los datos personales: esta es la base que necesitan los ciberdelincuentes para poner en marcha el duplicado de la tarjeta SIM. Por ello es tan importante estar atento a las páginas web a las que se accede en el día a día. Comprobar que el portal en cuestión es oficial y que cuenta con las diferentes medidas de seguridad, como que tiene una conexión encriptada, es imprescindible. Para saberlo basta con comprobar que la web cuenta con un candado verde a su comienzo y con una URL que comienza por httpS://, ya que de no incluir la -S:// final, sería una página de riesgo.
- Alerta Phishing: conocer las técnicas de los ciberataques de phishing es primordial para evitar que tengan acceso a los datos personales de un usuario. Estar atento a los correos y SMS que se reciben, observar si el remitente es conocido, analizar si el email cuenta con faltas de ortografía, estar alerta a los dominios para detectar si es fraudulento, enlaces o archivos adjuntos… A menudo, ese tipo de detalles son sinónimos de un correo fraudulento. El usuario debe tener todas estas características presentes y aprender a detectarlas para evitar el robo de su información personal a través de esta técnica.
- Atención a la cobertura móvil: saber si se está siendo víctima del SIM swapping es relativamente sencillo. Si un ciberdelincuente consigue hacer un duplicado de una tarjeta SIM, el móvil afectado tendrá una línea móvil sin servicio y perderá por completo la cobertura. De esta forma el dispositivo dejará de poder recibir llamadas y SMS. Si este es el caso, será imprescindible acudir a las autoridades y al operador con el que se tiene contratada la línea para que la desactiven y realicen el correspondiente proceso para poder recuperar los datos a la víctima.
“Ya es evidente que los ciberdelincuentes hacen todo lo que pueden para inventar nuevas formas dirigidas a robar los datos de posibles víctimas y así alcanzar sus objetivos. Su imaginación no tiene límites. Por ello es cada vez más apremiante que los usuarios adquieran los conocimientos necesarios en ciberseguridad para que sean capaces de detectar cualquier señal de ataque. De no ser conscientes de las pistas que dejan estas amenazas, el riesgo aumentará y las consecuencias pueden ser mucho más graves de las que imaginamos. Pudiendo incluso ver como la cuenta del banco se queda vacía, o ahora que se pueden adquirir diferentes servicios a través de internet, ser víctimas de un fraude de identidad”, advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal.