Alertan sobre el peligro de la estafa SIM-Swapping: así funciona el conocido como 'fraude de la SIM duplicada'

No es una novedosa estafa recién pergeñada en alguna mente maligna. Hace tiempo que los ciberdelincuentes la usan, pero, en los últimos tiempos, parece haberse puesto muy de moda. Es el fraude de la SIM duplicada o SIM-Swapping. Un engaño tan sencillo de llevar a cabo para los perpetradores como lesivo con la víctima. 

Apuntan en un artículo de la Oficina de Seguridad del Internauta (OSI), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, que el SIM-Swapping comenzó a ser un timo habitual a raíz de la entrada en vigor de la normativa PSD2, el 14 de septiembre de 2019, que establecía la autenticación reforzada del cliente (SCA) en los pagos electrónicos. El sistema más común de cumplir con esta exigencia de comprobación es enviar un código, en formato SMS, y así confirmar la posesión del teléfono en cuestión y poder formalizar el pago. 

Para que un estafador pueda realizar esta compra (sin, obviamente, ser el titular de la tarjeta), necesitará hacer un duplicado de la SIM. Recuerdan en OSI el caso de Jack Dorsey, CEO de Twitter, en cuya cuenta de dicha red social se realizaron publicaciones de índole racista. Tras una investigación, la propia red social comunicó que el número de teléfono asociado a la cuenta había sido comprometido, y esto provocó que, haciendo uso de la función de tuitear mediante mensajes de texto, pudieran suplantar al CEO de la compañía. Este es un ejemplo de suplantación de identidad con un objetivo que no era económico, sino tendente a dañar la imagen de la compañía.

¿Cómo se solicita un duplicado de tarjeta?

Tal y como apuntan en OSI, para entender un poco mejor cómo se puede llegar a materializar el fraude del duplicado de la SIM, es importante saber cuál es el proceso habitual de solicitud de duplicado de tarjeta utilizado por la mayoría de las operadoras de telefonía móvil. En líneas generales, funciona de la siguiente forma:

• El usuario, dependiendo de cuál sea su operadora, deberá dirigirse a cualquier tienda física, llamar por teléfono o acceder al área personal del sitio web oficial para realizar la solicitud.
• Es requisito obligatorio ser titular de la línea de teléfono.
• El usuario recibe la SIM y procede a su activación.
• La operadora desactiva la anterior SIM.

¿Cómo se hace el fraude de la SIM duplicada?

Por tanto, es evidente que para efectuar este timo, el ciberdelincuente debe suplantar la identidad del estafado. 

En tiendas físicas será más complicado que alguien lo haga, porque cuando el técnico de la tienda verifique la identidad del usuario, solicitando para ello el carnet de identidad, rápidamente se dará cuenta de que no coinciden los datos, a no ser que presente un carnet falso, que no levantará ninguna sospecha si la apariencia de este parece legítima y los datos coinciden.

En los procesos de solicitud de tarjeta SIM por medio telefónico o incluso online, puede resultar más sencillo suplantar la identidad si se dispone previamente de la información personal: credenciales de acceso, nombre, apellidos, DNI, fecha de nacimiento, domicilio de facturación, cuatro últimos dígitos de la cuenta bancaria, etc. Aquí está el quid de la cuestión, ¿y cómo consiguen esos datos? Hay muchas formas de recopilarlos, según la OSI.

8 formas de conseguir los datos personales de otra persona para realizar una ciberestafa

1. Resultando víctimas de fraudes de tipo phishing, en los que a través de un email, SMS, mensajes de chat, etc., hacen creer que son una determinada empresa, entidad o persona y bajo cualquier excusa piden ciertos datos personales.
2. Comprando en tiendas online fraudulentas, en cuyo proceso de pago solicitan gran cantidad de información privada, incluidos los datos bancarios.
3. Participando en encuestas que se viralizan a través de redes sociales y mensajería instantánea para obtener supuestamente de manera gratuita vales de descuento, cupones o premios varios.
4. Siendo estafados por algún vendedor/comprador que se enmascaran bajo perfiles falsos en tiendas de compraventa online, foros de Internet u otros servicios que engañan con sus artimañas con el fin de robar información.
5. Publicando a través de redes sociales información personal sin tener controlado quién está accediendo a las publicaciones, y sin pensar que todo lo que se dice y hace puede ser utilizado en contra.
6. Descargando aplicaciones móviles distribuidas fuera de los mercados oficiales, ya que no se sabe quién las ha desarrollado, si son seguras, con quién intercambian la información que recopilan del usuario, etc.
7. Al hacer un registro en servicios web de dudosa reputación o cuyas políticas de privacidad no están claras, de tal forma que no se sabe cómo almacenan los datos (¿cifrados en sus servidores?) y qué uso harán de ellos.
8. Recopilándolos de servicios cuyas medidas de seguridad han sido vulneradas, filtrándose, en distintos foros y páginas web, información privada de sus clientes/usuarios.

Como se puede comprobar, en muchas ocasiones es el propio usuario engañado quien facilita  información personal de una manera u otra. Por tanto, aconsejan, “hay que reflexionar y tener siempre presente que debemos ser cautos cuando vayamos a facilitar información personal. Analizar y reflexionar quién me la está pidiendo y con qué objetivo, para evitar que llegue a manos de personas con malas intenciones”.

¿Cómo detectar y qué hacer si se ha sufrido SIM-Swapping?

Existen ciertos funcionamientos extraños del dispositivo telefónico que pueden alertar de que es posible que se haya sido víctima del fraude de la SIM duplicada. Son estos y esto es lo que hay que hacer:

• Contacta lo antes posible con tu operadora si detectas que te has quedado sin cobertura en sitios donde habitualmente siempre tienes y desconoces la causa.
• Del mismo modo, si al acceder a tu banca online ves cargos de movimientos que desconoces, contacta con tu banco para intentar esclarecer la situación lo antes posible.
• Revisa los servicios que utilices habitualmente, como redes sociales, correo electrónico, mensajería instantánea, etc., por si hubieran conseguido acceder a ellos. Modifica tus credenciales de acceso, activa la verificación en dos pasos y actualiza las opciones de recuperación de la cuenta.
• Guarda todas las evidencias de las que dispongas para que, en caso de confirmar que has sido víctima de un fraude, puedas interponer una denuncia ante las FFCCSE.
• Recuerda que, si tienes dudas, puedes contactar con la Línea de Ayuda en Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE), a través del teléfono gratuito 017, disponible todos los días del año.