SIM swapping, cuando tu teléfono, y tu dinero, quedan al descubierto

El fraude del SIM swapping, el duplicado ilegítimo de la tarjeta del móvil para suplantar la identidad de una persona, no para de crecer. Operadoras y bancos se están viendo obligadas ya a reforzar sus estructuras de ciberseguridad para contener el problema

¿Se imagina levantarse de la cama una buena mañana, abrir su app de banca electrónica y descubrir que el saldo de su cuenta bancaria ha volado? Puede que en ese momento no lo sepa, pero es posible que haya sido víctima de SIM swapping. Uno de los muchos fraudes digitales que salpican esta era, fraudes en cuya contención trabajan a diario los profesionales de los servicios de ciberinteligencia.

Sobre el papel, el SIM swapping es un fraude sencillo. Consiste, en síntesis, en lograr de forma ilegítima el duplicado de la tarjeta del móvil de una persona para suplantar su identidad. ¿Con qué objeto? Robar su dinero, su información en el correo electrónico, sus perfiles en redes sociales… En definitiva, cualquier elemento de valor.

Porque esta es quizás la cuestión más inquietante a la hora de analizar la dimensión del SIM swapping. Al igual que con el counter-phishing o el ransomware, detrás de este fenómeno se encuentran actores de todo tipo, desde particulares hasta grupos perfectamente jerarquizados y con muchos medios tanto técnicos como económicos.

La motivación prioritaria de la mayoría de estos actores es la financiera, de ahí que el protagonismo de este fraude digital se ha focalizado en el SIM swapping bancario. Episodios que han desencadenado batallas judiciales con cierta trascendencia pública.

Pero vayamos por partes. Desgranemos, formulando algunas preguntas, la dimensión y el impacto del problema.

1. ¿Cómo se lleva a cabo el SIM swapping?

La operativa del fraude es relativamente simple. La casuística más frecuente es la siguiente: alguien se hace pasar por cliente de la operadora para intentar conseguir un duplicado de su tarjeta SIM. ¿La disculpa? Que se ha extraviado, estropeado o incluso que necesita otro formato, como puede ser una micro o nano SIM.

En algunos casos, se ha llegado a pedir incluso la portabilidad del número a otra operadora. Una opción de SIM swapping menos frecuente toda vez que el traslado de la línea no es inmediato y durante esos días de demora podría surgir alguna incidencia que eche por tierra el fraude.

Sea como fuere, esta tipología de delito se materializa la mayor parte de las veces a través del teléfono. Con una simple llamada.

¿Cómo es posible? Porque previamente, el actor hostil se habrá hecho con toda la información personal del usuario por otras vías para identificarse ante el agente telefónico del operador: nombre completo, DNI, número del teléfono cuya tarjeta SIM es necesario duplicar, etc.

Es así, una vez obtenida la tarjeta telefónica, cuando el fraude inicia sus pasos.

2. ¿Cuáles son las etapas del SIM swapping?

Es este un fraude por fases. Y por extraño que pueda parecer, el primer paso no es el duplicado de la tarjeta. La primera etapa del SIM swapping es el perfilado de la víctima. Antes de entrar en contacto con la respectiva operadora, los cibercriminales han de hacerse con toda la información necesaria relacionada con su víctima.

Por supuesto, en la mayoría de los casos lo más interesante serán sus credenciales bancarias. Trazar en definitiva una radiografía de su salud financiera. Pero puede también que lo que les interese de la víctima sean sus relaciones empresariales y sociales. Su información, dicho en román paladino, por lo que el objeto de ataque estaría centrado en su agenda telefónica, sus conversaciones vía mensajería instantánea, el correo electrónico o sus redes sociales.

Con esa radiografía bajo el brazo, el actor hostil activará la segunda fase de este fraude: obtener el duplicado de la tarjeta SIM.

La tercera y última fase de este fraude digital es la suplantación. El atacante podrá hacer uso del duplicado SIM, y toda la información vinculada a este, en un terminal propio sin que, en la mayoría de los casos, la víctima sea consciente de la situación.

El hecho de que nuestros terminales de telefonía estén conectados casi continuamente a Internet facilita que la acción pase inadvertida. De hecho, pueden pasar horas, incluso días, hasta que el usuario final advierte que carece de línea. Un tiempo suficiente para que los cibercriminales se hagan con la información o con el dinero de la víctima.

3. ¿Por qué el SIM swapping bancario ha desatado tantas alarmas?

Principalmente, por una cuestión obvia: allí donde hay dinero, suelen merodear los malhechores. Y el SIM swapping bancario es un fraude digital muy jugoso habida cuenta de la posibilidad de hacerse con el control de las cuentas de miles de ciudadanos.

¿Cómo es eso posible? Precisamente por una cuestión que seguro le resultará familiar si con frecuencia utiliza la banca online. Para realizar cualquier clase de operación en estas plataformas (transferencias, traspasos, autorizaciones…), la entidad financiera le remite un mensaje SMS para autorizar cada una de ellas a modo de doble autentificación.

La secuencia, por tanto, es lógica. Si el actor hostil se hace con mi teléfono, podrá autorizar tantas operaciones como le permita la app o hasta que el legítimo titular de la cuenta se dé cuenta del fraude.

Pero el acceso a la SIM solo es un paso más de la estafa. Como se ha explicado previamente, los cibercriminales, en un caso como el descrito, han de disponer también de las credenciales de acceso a la banca online de su víctima. ¿De qué forma? Pues a través de multitud de vías.

Acceso a información crítica

Por un lado, los grupos de cibercriminales altamente jerarquizados y estructurados cuentan con capacidades técnicas para acceder a esa información crítica por distintos caminos: malware en un correo electrónico, una app fraudulenta que permite robar los datos, un ataque de phishing…

Por otro, hay actores que directamente acuden a la Dark Web para hacerse con paquetes de datos procedentes de fugas de información bancaria. Los casos de JP Morgan, Home Depot, Sally Beauty, Target o Korea Credit Bureau son solo algunos ejemplos ocurridos a lo largo de los últimos años.

Sea cual sea la vía seleccionada, lo cierto es que el fraude del SIM swapping no ha dejado de crecer en los últimos meses y amenaza con hacerlo aún más si no se toman medidas en los próximos años. Los datos que maneja el FBI así lo acreditan.

Solo el año pasado y en Estados Unidos, la agencia federal recibió más de 1.611 denuncias de víctimas que vieron volar su dinero a raíz del secuestro de sus líneas telefónicas. Entre el 2018 y el 2020, el total de denuncias por esta clase de fraude apenas habían llegado a las 320. Dicho de otro modo, el SIM swapping bancario se ha puesto de moda entre los actores hostiles.

4. ¿Cuál es el papel de los bancos?

Llegados a este punto, la siguiente pregunta es obvia: ¿Qué deben hacer las entidades financieras para contener el fenómeno? La teoría es simple: reforzar los mecanismos de seguridad de sus plataformas de banca online. La práctica es algo más delicada por la aparición de una derivada no menor cuando se habla de servicios financieros: accesibilidad y usabilidad por parte del usuario final.

El crecimiento del SIM swapping podría contenerse si se activasen protocolos de autorización de operaciones (transferencias, contrataciones…) más severos. Pero la decisión podría colisionar con uno de los grandes asuntos a los que se enfrenta el sector financiero a nivel mundial: el riesgo de exclusión de las personas mayores y los perfiles de ciudadanos analógicos. También el de aquellos que, simplemente, optan por no contratar con aquellos servicios que les exigen utilizar un control de accesos más severo.

No en vano, estamos en la era de la sencillez, de poner las cosas fáciles, del plug and play… De debatirnos entre seguridad, libertad y, por qué no decirlo, excesiva comodidad.

Una discusión de enorme calado social que no pasa desapercibida en las más altas instancias gubernamentales.

SMS como factor de autenticación

Es por eso que la mayoría de las entidades han optado por utilizar el mensaje SMS como el segundo factor de autenticación para validar las operaciones de banca online. Tanto mayores como los ciudadanos más analógicos están muy familiarizados con esta herramienta, de ahí que se haya impuesto como la fórmula más recurrente.

Los bancos son además conscientes de que la simple consulta de la información financiera de cada persona dentro de sus plataformas online es muy probable que deba reforzarse en el futuro. Actualmente, la mayoría de las entidades no tienen activado un segundo factor de autenticación para el acceso simple a la banca digital (no para realizar operaciones), y eso supone un riesgo.

¿Por qué? Porque si logran acceder a las credenciales bancarias de los ciudadanos (ciberataques, fugas de información…), los cibercriminales podrán categorizar a las víctimas. Esto es, aquellas que son más interesantes (las que tienen por ejemplo más dinero en sus cuentas) y las que no.

En definitiva, el delicado dilema entre seguridad y usabilidad es el que están aprovechando los cibercriminales hoy para desplegar sus ataques de SIM swapping.

5. ¿Y el papel de las operadoras de telecomunicaciones?

Pues al igual que los bancos, las operadoras son conscientes de que tienen desafíos sobre la mesa. En su caso, ese dilema entre funcionalidad y seguridad se ha encontrado con un obstáculo serio ante la proliferación de esta clase de ciberataques.

Todo parece indicar que, si se mantiene el crecimiento del SIM swapping, la solicitud de duplicado de la tarjeta telefónica va a quedar sometida a otros protocolos (alguna clase de doble autenticación, petición presencial…). Algo que podría suponer un contratiempo para el cliente, pero que le beneficiaría al introducir estándares de seguridad más elevados y contener el riesgo de que se vea afectado por esta clase de ciberestafas.

Volvemos así al debate de partida, al delicado equilibro entre la usabilidad y la seguridad.

6. ¿Qué opinan los tribunales?

Mientras, el debate se está librando ya en muchos casos ante los tribunales. Y las decisiones no están teniendo un sentido único. En algunos casos, las operadoras se han visto obligadas a compensar a los usuarios parcialmente, pero en otras las empresas han ganado la demanda.

¿El fundamento de estos fallos? Que el duplicado de la SIM no precipita la estafa como tal, toda vez que, para consumar el delito, los cibercriminales han de conseguir otros datos (credenciales, información personal…) que poco o nada tiene que ver con la diligencia debida que se exige a las operadoras.

Así las cosas, parece evidente que en el futuro bancos y empresas de telecomunicaciones tenderán a reforzar aún más los procesos por los cuales los usuarios finales se autentican ante sus servicios, ya sea por cuestión de voluntad o de obligado cumplimiento.

7. ¿Cuáles son las recomendaciones para frenar este fraude?

Bruselas se ha tomado en serio la lucha contra fenómenos como el SIM swapping, muy especialmente en lo que tiene que ver con el sector financiero. A lo largo de los últimos años, ha ido activando distintas regulaciones que pretenden ponérselo más difícil a los cibercriminales. La directiva 2015/2366 del Parlamento Europeo sobre Servicios de Pago en el Mercado Interior y el reglamento delegado que complementa y desarrolla esta directiva obliga a introducir un doble factor de autenticación en las plataformas de banca online.

El texto del reglamento a este respecto es inequívoco:

«Cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con el artículo 97, apartado 1, de la Directiva (UE) 2015/2366, la autenticación se basará en dos o más elementos categorizados como conocimiento, posesión e inherencia y tendrá como resultado la generación de un código de autenticación».

«El código de autenticación –continúa la disposición comunitaria- únicamente será aceptado por el proveedor de servicios de pago una sola vez cuando el ordenante lo use para acceder a su cuenta de pago en línea, para iniciar una operación de pago electrónico o para llevar a cabo cualquier acción a través de un canal remoto que pueda entrañar un riesgo de fraude en el pago u otros abusos».

La era de las soluciones alternativas

Hasta la fecha, la mayoría de los bancos han optado por la fórmula de la posesión (en este caso, el teléfono al que llega el SMS) para dar forma a este factor de autenticación. Pero fraudes digitales como el SIM swapping han demostrado que quizás haya que buscar soluciones alternativas, como pueden ser las aplicaciones de doble autenticación.

Introducir un código o un token generado automáticamente desde una app, que además no se puede replicar en otro teléfono solo con poseer la SIM, permitiría levantar un nuevo muro de seguridad para frenar la incontenible motivación de los cibercriminales, al menos, por el momento.

Porque ellos, y este es uno de los mandamientos del mundo de la ciberseguridad, nunca descansan…