La tecnología avanza cada día un poco más pero, desgraciadamente con ella también evolucionan los fraudes que tienen que ver con ella. Desde hace relativamente poco tiempo, ha nacido un nuevo fraude que está pegando fuerte y que además resulta bastante complejo de evitar. Es muy importante conocerlo en detalle y estar prevenido para evitar un robo de información. Ya en España se han empezado a dar las primeras estafas en la red de este tipo.
Se trata de uno de los timos con el smartphone más peligrosos que existen, dado que si el atacante consigue hacerse con suficiente información, incluso podría robarnos, todo el dinero de nuestro banco. Por ello es necesario conocer con detalle cómo funcionan estas estafas para poder reaccionar a tiempo y adecuadamente ante el imprevisto. Así pues, vamos a contarte cómo evitar el SIM swapping.
Timos en Internet con SIM Swapping: Una de las más peligrosas estafas en la red
Para poder entender cómo funcionan estas estafas en Internet, primero es necesario destripar paso por paso la naturaleza de la trampa.
Infringiendo la seguridad de dos pasos: estafas en Internet complejas
Históricamente las compañías que requerían algún tipo de autenticación lo hacían con una simple contraseña. Hasta que se dieron cuenta de que era necesario introducir un segundo nivel de seguridad. Los expertos siempre han dicho que para que una autenticación fuera segura, era necesario combinar al menos dos elementos de tres opciones posibles: algo que se pueda recordar (una contraseña), algo que se lleve encima (como un móvil), o algo propio (como una huella dactilar). Pero nunca usar solo un elemento aisladamente.
El problema es que, por motivos obvios, al igual que ocurrió con las contraseñas, hemos abusado sistemáticamente del mismo tipo de autenticación de dos pasos: primero la contraseña y segundo de un código SMS al móvil. Los atacantes simplemente han tenido que sofisticarse un poco más para romper estos dos sistemas de seguridad y tener acceso a un nuevo mundo de timos en Internet.
¿Cómo se inician estos timos con el smartphone?
En primer lugar, el atacante se dedica a recopilar el máximo de información de la víctima, ya sea por redes sociales, o cualquier otro medio en el que se haya publicado algo. La recopilación de información no solo llega de la mano de las redes sociales: también nos envían correos falsos conocidos como “phishing” haciéndose pasar por nuestro banco u otro servicio interesante y, si picamos el anzuelo, tendrán vía libre para recopilar aún más información privada. El objetivo de esta es saltarse los sistemas de seguridad de la compañía telefónica como veremos a continuación.
Por otro lado, el ladrón se hace con una tarjeta SIM nueva de nuestra compañía de teléfonos y llama en nuestro nombre, respondiendo a la perfección a todas las preguntas de seguridad. Una vez que ha superado todas las preguntas típicas: fecha de nacimiento, nombre del banco, etc., piden al operador que les cambie la línea de SIM porque han “perdido”, la suya. Cuando el operador ha traspasado la línea ya solo queda el paso final: si ya tienen nuestras contraseñas y nuestros datos ¿cuál era la última pieza del rompecabezas?
Con nuestra línea en sus manos ya tendrán vía libre para vaciarnos los bolsillos.
¿Es posible proteger el smartphone de este robo de información?
Como nos habremos dado cuenta, es muy difícil proteger el smartphone de este ataque porque, en el fondo, la mayor parte de la problemática se encuentra más allá de nuestro control. Aun así hay algunas técnicas para protegerse del swapping en otros niveles:
- Afortunadamente, no todos los sistemas de seguridad van a través de SMS. Algunos bancos usan tarjetas de coordenadas a la hora de hacer una transferencia. Pero, en cambio, la mayoría de los bancos confirman operaciones solo con un código, por tanto el atacante simplemente podría hacer pagos en comercios y verificarlos con el SMS de confirmación.
- La segunda opción sería protegernos ante la suplantación de identidad con nuestro operador. En España hay pocos operadores que tengan protecciones buenas, por tanto, o buscamos una que lo tenga, o tendremos ese riesgo siempre latente.
Como podemos ver, en realidad el objetivo está en intentar evitar el SMS como autenticación de segundo nivel. Es cierto que es muy cómodo, pero visto lo visto, el riesgo parece bastante grande desde el momento en que nos hayan robado nuestra contraseña. La seguridad evoluciona al mismo ritmo que los atacantes, y hay que intentar avanzar siempre un poco para evitar este tipo de amenazas latentes.