Crees que estás haciendo todos los movimientos correctos. Eres inteligente con tu seguridad. Tiene la autenticación de dos factores habilitada en todas sus cuentas. Pero los piratas informáticos tienen una forma de evitar eso: el intercambio de SIM.
Es un método de ataque devastador con consecuencias nefastas para quienes son víctimas de él. Afortunadamente, existen formas de protegerse. Así es como funciona y lo que puede hacer.
Tabla de contenido
¿Qué es un ataque de intercambio de SIM?
No hay nada intrínsecamente malo en el «intercambio de SIM». Si alguna vez pierde su teléfono, su operador realizará un intercambio de SIM y moverá su número de teléfono celular a una nueva tarjeta SIM. Es una tarea rutinaria de servicio al cliente.
El problema es que los piratas informáticos y los delincuentes organizados han descubierto cómo engañar a las compañías telefónicas para que realicen intercambios de SIM. Luego, pueden acceder a cuentas protegidas por autenticación de dos factores basada en SMS (2FA).
De repente, su número de teléfono se asocia con el teléfono de otra persona. El delincuente recibe todos los mensajes de texto y llamadas telefónicas destinadas a usted.
La autenticación de dos factores se concibió en respuesta al problema de las contraseñas filtradas. Muchos sitios no protegen adecuadamente las contraseñas. Utilizan hash y salting para evitar que terceros lean las contraseñas en su forma original.
Peor aún, muchas personas reutilizan contraseñas en diferentes sitios. Cuando un sitio es pirateado, un atacante ahora tiene todo lo que necesita para atacar cuentas en otras plataformas, creando un efecto de bola de nieve.
Por motivos de seguridad, muchos servicios requieren que las personas proporcionen una contraseña especial de un solo uso (OTP) cada vez que inician sesión en una cuenta. Estas OTP se generan sobre la marcha y solo son válidas una vez. También caducan al poco tiempo.
Para mayor comodidad, muchos sitios envían estas OTP a su teléfono en un mensaje de texto, lo que tiene sus propios riesgos. ¿Qué sucede si un atacante puede obtener su número de teléfono, ya sea robando su teléfono o realizando un intercambio de SIM? Esto le da a esa persona acceso casi sin restricciones a su vida digital, incluidas sus cuentas bancarias y financieras.
Entonces, ¿cómo funciona un ataque de intercambio de SIM? Bueno, depende de que el atacante engañe a un empleado de la compañía telefónica para que transfiera su número de teléfono a una tarjeta SIM que él o ella controle. Esto puede suceder por teléfono o en persona en una tienda de teléfonos.
Para lograr esto, el atacante necesita saber un poco sobre la víctima. Afortunadamente, las redes sociales están llenas de detalles biográficos que pueden engañar a una pregunta de seguridad. Su primera escuela, mascota o amor, y el apellido de soltera de su madre probablemente se pueden encontrar en sus cuentas sociales. Por supuesto, si eso falla, siempre hay phishing.
Los ataques de intercambio de SIM están involucrados y consumen mucho tiempo, lo que los hace más adecuados para incursiones dirigidas contra un individuo en particular. Es difícil llevarlos a cabo a escala. Sin embargo, ha habido algunos ejemplos de ataques de intercambio de SIM generalizados. Una pandilla brasileña del crimen organizado fue capaz de intercambiar SIM 5000 víctimas durante un período de tiempo relativamente corto.
Una estafa de «transferencia» es similar e implica secuestrar su número de teléfono al «transferirlo» a un nuevo proveedor de telefonía celular.
¿Quién está más en riesgo?
Debido al esfuerzo requerido, los ataques de intercambio de SIM tienden a tener resultados particularmente espectaculares. El motivo casi siempre es económico.
Recientemente, los intercambios de criptomonedas y las billeteras han sido objetivos populares. Esta popularidad se ve agravada por el hecho de que, a diferencia de los servicios financieros tradicionales, no existe tal cosa como un contracargo con Bitcoin. Una vez que se envía, desaparece.
Además, cualquiera puede crear una billetera de criptomonedas sin tener que registrarse en un banco. Es lo más cercano que puede llegar al anonimato en lo que respecta al dinero, lo que facilita el lavado de fondos robados.
Una víctima conocida que aprendió esto por las malas es Inversor de Bitcoin, Michael Tarpin, que perdió 1.500 monedas en un ataque de intercambio de SIM. Esto sucedió pocas semanas antes de que Bitcoin alcanzara su valor más alto de todos los tiempos. En ese momento, los activos de Tarpin valían más de $ 24 millones.
Cuando el periodista de ZDNet, Matthew Miller, fue víctima de un ataque de intercambio de SIM, el hacker intentó comprar Bitcoin por valor de $ 25,000 usando su banco. Afortunadamente, el banco pudo revertir el cargo antes de que el dinero saliera de su cuenta. Sin embargo, el atacante aún pudo destrozar toda la vida en línea de Miller, incluidas sus cuentas de Google y Twitter.
A veces, el propósito de un ataque de intercambio de SIM es avergonzar a la víctima. Esta cruel lección fue aprendida por el fundador de Twitter y Square, Jack Dorsey, el 30 de agosto de 2019. secuestrado su cuenta y publicó epítetos racistas y antisemitas en su feed, que es seguido por millones de personas.
¿Cómo se sabe que se ha producido un ataque?
La primera señal de una cuenta de intercambio de SIM es que la tarjeta SIM pierde todo el servicio. No podrá recibir ni enviar mensajes de texto o llamadas, ni acceder a Internet a través de su plan de datos.
En algunos casos, su proveedor de telefonía podría enviarle un mensaje de texto informándole que se está realizando el intercambio, momentos antes de transferir su número a la nueva tarjeta SIM. Esto es lo que le pasó a Miller:
“A las 11:30 pm del lunes 10 de junio, mi hija mayor me sacudió el hombro para despertarme de un sueño profundo. Dijo que parecía que mi cuenta de Twitter había sido pirateada. Resulta que las cosas eran mucho peores que eso.
Después de levantarme de la cama, tomé mi Apple iPhone XS y vi un mensaje de texto que decía: ‘Alerta de T-Mobile: se cambió la tarjeta SIM para xxx-xxx-xxxx. Si este cambio no está autorizado, llame al 611 ‘”.
Si aún tiene acceso a su cuenta de correo electrónico, es posible que también comience a ver actividad extraña, incluidas notificaciones de cambios de cuenta y pedidos en línea que no realizó.
¿Cómo debe responder?
Cuando ocurre un ataque de intercambio de SIM, es crucial que tome una acción inmediata y decisiva para evitar que las cosas empeoren.
Primero, llame a su banco y a las compañías de tarjetas de crédito y solicite que se congelen sus cuentas. Esto evitará que el atacante use sus fondos para compras fraudulentas. Dado que también ha sido víctima de un robo de identidad, también es aconsejable ponerse en contacto con las diversas agencias de crédito y solicitar una congelación de su crédito.
Luego, intente «adelantarse» a los atacantes moviendo tantas cuentas como sea posible a una nueva cuenta de correo electrónico no contaminada. Desvincula tu antiguo número de teléfono y usa contraseñas seguras (y completamente nuevas). Para cualquier cuenta a la que no pueda acceder a tiempo, comuníquese con el servicio al cliente.
Finalmente, debe comunicarse con la policía y presentar un informe. No puedo decir esto lo suficiente: eres víctima de un crimen. Muchas pólizas de seguro para propietarios de viviendas incluyen protección contra el robo de identidad. Presentar un informe policial podría permitirle presentar un reclamo contra su póliza y recuperar algo de dinero.
Cómo protegerse de un ataque
Por supuesto, la prevención siempre es mejor que la cura. La mejor manera de protegerse contra los ataques de intercambio de SIM es simplemente no utilizar 2FA basado en SMS. Afortunadamente, existen algunas alternativas convincentes.
Puede utilizar un programa de autenticación basado en aplicaciones, como Google Authenticator. Para otro nivel de seguridad, puede optar por comprar un token de autenticador físico, como YubiKey o Google Titan Key.
Si es absolutamente necesario utilizar 2FA basado en mensajes de texto o llamadas, debería considerar invertir en una tarjeta SIM dedicada que no utilice en ningún otro lugar. Otra opción es usar un número de Google Voice, aunque no está disponible en la mayoría de los países.
Desafortunadamente, incluso si usa 2FA basado en la aplicación o una clave de seguridad física, muchos servicios le permitirán omitirlos y recuperar el acceso a su cuenta a través de un mensaje de texto enviado a su número de teléfono. Los servicios como Google Advanced Protection ofrecen una seguridad más a prueba de balas para las personas en riesgo de ser atacadas, «como periodistas, activistas, líderes empresariales y equipos de campañas políticas».