Políticos, celebridades, consumidores e incluso el CEO de Twitter, Jack Dorsey. Cualquier persona puede ser objetivo del SIM Swap (también conocido como SIM Swapping), fraude que ganó los titulares luego de victimizar a Dorsey el año pasado y que actualmente se consolidó como una de las principales amenazas para la industria móvil en América Latina.
Básicamente caracterizado como la transferencia de la línea del usuario a un chip en blanco, el golpe permite que los hackers controlen el teléfono de terceros, permitiendo interceptar llamadas y mensajes, invadir cuentas bancarias y redes sociales, por ejemplo, y hasta el robo de criptomonedas. Según relevamientos del sector, de cada cinco intentos de SIM Swap, cuatro logran su objetivo.
El aumento creciente de casos de este tipo en todo el mundo se puede explicar por el enorme contingente de teléfonos celulares en uso y, por lo tanto, por la alta disponibilidad de víctimas potenciales. Según el informe “La Economía Móvil 2019”, elaborado por la GSMA, 5,1 mil millones de personas tienen celular, lo que equivale al 67% de la población mundial.
América Latina, donde estos incidentes han sucedido con mucha frecuencia, aparece en cuarto lugar en el ranking de las regiones con más dispositivos del tipo, con 67% de penetración. Pero más allá de esto, en promedio, una persona gasta cinco horas por día utilizando los aparatos, aumentando los momentos de vulnerabilidad.
Los atacantes normalmente utilizan algunas estrategias para realizar el cambio de chip. Una de ellas es solicitar a las operadoras móviles a portar un número de teléfono a otro dispositivo, transfiriendo el control del número al delincuente. El proceso, que muchas veces no requiere muchas informaciones además del nombre, número del celular y fecha de nacimiento, se realiza sin complicaciones, incluso porque en principio está dirigido a atender a los clientes en el momento de la compra de un nuevo aparato, pérdida o rotura del teléfono.
De acuerdo a Positive Technologies, los consumidores deben apostar a la autenticación en dos factores, sin utilizar, mientras tanto, el SMS, que utiliza el número de celular como factor de seguridad.
“Es importante también estar atento a los ataques de phishing y a los ataques vía USSD, que tienen por objetivos obtener informaciones personales. Por este motivo, es mejor desconfiar de e-mails sospechosos, no hacer clic en enlaces desconocidos ni bajar documentos no solicitados, y, en caso de duda, ponerse en contacto por los canales oficiales con la empresa que parece querer comunicarse con usted”, recomienda Giovani Henrique, Director General de la empresa. El ejecutivo recuerda también que verificar el certificado de seguridad y cambiar las contraseñas regularmente también puede aumentar la protección.
Con relación a las operadoras, Henrique señala que LGPD puede ser una ayuda importante en el combate al SIM Swap, ya que las empresas estarán obligadas a reportar fugas, lo que tiende a aumentar la búsqueda de medidas de seguridad. “Algunas operadoras móviles latinoamericanas ya cuentan con un proceso más sólido para evitar este tipo de ataque por medio de la detección de reemisión de SIM / cambio de teléfono móvil basado en la correlación IMSI-IMEI-MSISDN. Pero es imprescindible el empleo de tecnologías que ayuden a acortar el tiempo de respuesta, disminuyendo los potenciales perjuicios de la víctima”, finaliza el ejecutivo.
