Para nadie es un secreto que nuestros teléfonos se han vuelto una extensión de quienes somos, nos han convertido en cyborgs y son usados para hacer una validación de si somos nosotros quienes estamos ingresando a un servicio o haciendo una transacción específica por medio de la Verificación de 2 Pasos: esos mensajes de texto con los códigos de transacción que todavía muchos servicios envían a los teléfonos de sus usuarios para validar su identidad.
Por eso es que el SIM Swapping o Clonación de Tarjetas SIM (aunque el nombre está mal porque no se clona nada) sigue creciendo y se consolida como uno de los principales delitos informáticos.
¿Qué es y cómo funciona el SIM Swapping?
El SIM Swapping no es más que un acto fraudulento por medio del cual un delincuente cambia la SIM asociada a un número telefónico sin que su dueño se de cuenta. Así, las llamadas y mensajes que llegan a dicho número ya no son recibidas por el dueño de la línea sino por el delincuente.
Y aunque el nombre en español parecería indicar que hubo un proceso técnico de clonación, los fabricantes de SIM cards como Gemalto tienen mecanismos de protección desde hace años que impiden en buena parte tal proceso. Hoy, el proceso es uno de cambio (no de clonación y por ende el “swapping”), es más sencillo y no requiere sino de un poco de investigación y un par de llamadas.
Hablemos del componente de Ingeniería Social
Lo primero que el delincuente necesita es información de la víctima. Información que recolecta de Google, de Facebook, de Twitter, de TikTok, de Tinder, de cuanta encuesta pendeja usted responde contando el colegio del que se graduó, el nombre de su perro, etc., etc., o que puede ser recopilada secretamente por algún código malicioso que instaló en sus dispositivos derivado de un archivo que recibió vía correo, una descarga de una páginas web o vía WhatsApp (como le pasó a Jeff Bezos el año pasado).
[Si quiere saber más de Phishing e Ingeniería Social lo invito a que se oiga la 2da Temporada de nuestro podcast DG/Tal, la cual dedicamos 100% al tema de CiberSeguridad y está disponible en Spreaker, Spotify, Apple Podcasts o vía el tab de Podcast que ve arriba en esta página]
Con esa información los delincuentes se comunican con su operador móvil, se hacen pasar por usted, y consiguen que les reexpidan una SIM asociada a su número.
Y ahora, con el control de la línea telefónica y su información, los delincuentes se pueden hacer pasar por usted para pedir cambios de clave de los correos o de las cuentas, hacer transferencias o, incluso, contactar a familiares y amigos y engañarlos pidiéndoles dinero de emergencia por alguna situación ficticia que se inventen (como le pasó a la mamá de mi amigo Mauricio, quien influenció para que escribiera este artículo).
¿Cómo nos protegemos?
Hay 7 pasos básicos que usted debe seguir para protegerse (aunque nada será 100% infalible):
- Deje de usar claves inseguras o que han sido filtradas en alguna fuga de datos masiva. Y deje de reutilizarlas en cuanto servicio y aplicación tiene/usa. Es hora de usar un administrador de passwords, como iCloud KeyChain (si es usuario Apple), 1Password o LastPass.
- No comparta tanta información (en línea, por teléfono, etc.,etc). O mejor, valide con quién está compartiendo su información antes de hacerlo.
- Ojo con lo que descarga a sus dispositivos.
Ese ppt con los paisajes más lindos del mundo, ese archivo pdf que le envió la DIAN porque no ha pagado sus impuestos o la Secretaría de Tránsito porque cometió una infracción, ese link al juego que vale plata pero que desde él sale gratis, el audio del Papa con la bendición del manto sacro puede ser en realidad un archivo con malware que puede robarle la información. - Opte por mecanismos de Autenticación de 2 Factores seguros.
Apple, GMail, Facebook, Instagram, incluso bancos como Bancolombia ya han migrado de la verificación vía SMS a modelos de Verificación de 2 Factores seguros, basados en una aplicación que debe estar previamente registrada y que se asocia a un dispositivo específico (y no a la línea de teléfono del mismo). - Active las notificaciones de acceso desde nuevos dispositivos a sus cuentas. La mayoría de proveedores de correo y redes sociales ya lo ofrecen.
- Valide, antes de aceptar un nuevo contacto en sus redes sociales, si ya lo tiene como contacto y si corresponde en realidad a la persona que dice ser. Un perfil recién abierto, sin fotos ni información o duplicado es, generalmente, un perfil fraudulento utilizado para obtener información de los contactos.
- Acuérdese de validar si con quien está hablando (o chateando) es en realidad esa persona. Es el funcionario del banco? Es su amigo o primo al que no ve hace años?
Acuérdese que su información es el activo más preciado que tiene en la actualidad y que los delincuentes andan detrás de ella porque con ella pueden hacer maravillas.
