Noticias de seguridad

SIM swapping: qué es y cómo detenerlo

David Strom, 20 abril 2021

No importa cómo, comprometer las tarjetas SIM es una tarea relativamente sencilla.

En nuestro artículo sobre la fuga masiva de datos de Facebook a principios de este mes , mencionamos el concepto de SIM swapping o intercambio de SIM . Este tipo de ataque es cada vez más fácil gracias a las filtraciones que asocian direcciones de correo electrónico y números de teléfono móvil. Profundicemos en cómo se lleva a cabo este tipo de ataque, por qué es tan popular y los pasos que puede tomar para prevenirlo en el futuro.

Cada teléfono móvil tiene una tarjeta especial llamada Módulo de identidad de abonado (SIM). Estas tarjetas vienen en tres tamaños diferentes: grande, mediano y pequeño (hay otros nombres para ellas, pero quédate conmigo aquí para simplificar). Los teléfonos más nuevos tienen las tarjetas más pequeñas, que son aproximadamente del tamaño de la superficie de la uña de su meñique, si tienes dedos pequeños. Si tiene esta tarjeta SIM más pequeña, aún puede caber en la bandeja de su teléfono antiguo, gracias a los adaptadores de cartón que se incluyen si alguna vez tiene que comprar una tarjeta nueva.

En realidad, hay una cuarta versión de la SIM , una SIM virtual o eSIM,  que se puede encontrar en los modelos de teléfonos inteligentes más nuevos. Esto te permite usar dos tarjetas SIM en tu teléfono, como cuando viajas internacionalmente (¿recuerdas esos días?) y deseas tener un número local y un segundo operador de telefonía móvil en otro país.

Cómo funciona el intercambio

Independientemente del tamaño o la forma de la tarjeta SIM, comprometerla es una tarea relativamente sencilla , por eso el ataque es tan popular. Los estafadores llaman al operador de telefonía móvil y le dicen que perdió el teléfono o que lo dejó caer y no funciona. Le piden al operador que active una nueva SIM con tu número de teléfono en su teléfono. Si suenan lo suficientemente convincentes (o si han encontrado a alguien al que pueden sobornar para que haga lo que quieran), lo han logrado. Porque una vez que se realiza el intercambio, no recibes ningún mensajes de texto, llamadas u otros datos. Todo lo que esté vinculado a tu número de teléfono celular, que, para muchos de nosotros, es nuestro único número de teléfono, es un juego justo para que el atacante se comprometa. En este punto, el estafador puede cambiar tu dirección de correo electrónico y realizar cambios en tu información bancaria y crediticia, haciéndose pasar por ti.

Si crees que esto suena demasiado increíble, piénsalo de nuevo. Un grupo de investigadores de la Universidad de Princeton examinó los principales operadores de telefonía celular de EE. UU., Junto con 140 sitios web diferentes. Se descubrió que todos los operadores y 17 de estos sitios web eran vulnerables. Por supuesto, esto se hizo durante 2019, pero aún así, revisar el documento resultante (sitio en inglés) es un análisis escalofriante y frustrante de cuán ineficaces pueden ser las supuestas protecciones de los operadores en manos de un hacker astuto con una buena historia.

Por ejemplo, algunos operadores solicitan información personal (como los detalles de pago en tu cuenta), pero brindan orientación a los piratas informáticos si adivinaron incorrectamente en tu primera respuesta. Los investigadores también han publicado una tabla que documenta los distintos sitios web (sitio en inglés) y si sus implementaciones estaban debidamente protegidas. Si bien la innovación ocurre rápidamente en algunas áreas de la tecnología, esta no es una de ellas.

Víctimas conocidas de los intercambios de SIM

Los intercambios de SIM le han sucedido a algunas personas notables a lo largo de los años. Matthew Miller, un periodista independiente de ZDNet, sufrió un ataque (sitio en inglés) en su teléfono en 2019. Perdió a sus seguidores de Twitter, le robaron $25,000 (dólares) en Bitcoin (eventualmente se lo devolvieron) de su cuenta bancaria y tuvo que cambiar docenas de contraseñas que estaban vinculadas a su cuenta comprometida.

"A todos los que conozco en el espacio de las criptomonedas les han robado su número de teléfono", dijo Joby Weeks, un empresario de Bitcoin citado en esta historia sobre intercambios de SIM publicada en 2017 (sitio en inglés). También se cita en esa historia lo que le sucedió a Adam Pokornicky, socio gerente de Cryptochain Capital. Su teléfono fue pirateado mientras estaba en línea y vio a un atacante apoderarse de todas sus cuentas en pocos minutos. Su cuenta fue objetivo de ladrones durante bastante tiempo porque tenía un nombre atractivo en Twitter.

Probablemente uno de los primeros y más infames intercambios de SIM le sucedió a la cuenta de Twitter de DeRay Mckesson en 2016 (sitio en inglés). Hablando de Twitter, la propia cuenta de su CEO, Jack Dorsey, fue secuestrada en 2019 (sitio en inglés). Otras celebridades que han sido víctimas incluyen a la actriz Jessica Alba, el artista de grabación King Bach y personalidades en línea como Shane Dawson y Amanda Cerny. 

Cómo prevenir futuros ataques

Ha habido algunos avances por parte de los operadores en el intercambio de SIM. Los principales operadores de EE. UU. Anunciaron un esfuerzo para crear su propia aplicación de autenticación para teléfonos inteligentes como  Zenkey.

Como sugiere la FTC, una de las primeras líneas de defensa es estar más consciente de lo que podría salir mal. Ellos recomiendan correctamente que no responda a ninguna llamada o mensaje de texto que solicite su información personal. Siempre. Incluso algo tan inocuo como el texto de notificación de un paquete podría ser perjudicial si hace clic en el enlace incrustado. 

En segundo lugar, como recomienda nuestro artículo de filtración de Facebook , debe intentar cambiar su segundo factor de autenticación de SMS a aplicaciones de autenticación, como Google Authenticator y Authy. Si bien esto puede ser un ejercicio frustrante (como documentamos en esta publicación ), ayuda mucho a detener los intercambios. Además, no confíes en Facebook, Google o Twitter para autenticarte para iniciar sesión en otros servicios ; debes configurar un proceso de autenticación separado con contraseñas únicas. Para realizar un seguimiento de tu colección de contraseñas, usa un administrador de contraseñas para crear complejas que no tengas que recordar y volver a escribir.

Finalmente, otra forma de intentar evitar que los atacantes potenciales obtengan el control es poner un código de acceso adicional en tu cuenta de teléfono móvil. El problema, como descubrió el equipo de Princeton, es que se puede persuadir fácilmente al personal del centro de llamadas de la compañía telefónica para que evite esta protección.