Qué puedes hacer para evitar el “SIM swapping”, el ciberataque que causa estragos y que permite vaciar cuentas bancarias

Javier Pastor

Si tu móvil deja de tener cobertura, ten miedo: unnuevo fraude telefónico conocido como ‘SIM swapping’está siendo utilizado para que un ciberatacante duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco ynos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter,le robaron su cuenta en el serviciocon ese mismo sistema, lo que una vez másdeja en evidencia la debilidad de mecanismos como el de los mensajes SMSpara los sistemas deautenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, yno los SMSque cada vez sonmás vulnerablesen este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El Paíscontaban recientementeun caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó quealguien se había hecho pasar por élpara solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Ayer me quedé sin línea móvil de repente.Llamé a@vodafone_esy no me solucionaron nada: “Hay una incidencia en la red”, “Su línea funciona perfectamente”, insistí en el problema y nada.Al salir del cine, seguía sin línea. Al llegar a casa me habían vaciado la cuenta corriente.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños,miles de euros habían desaparecidoy tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esatendencia al alzade los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”.Pudo cancelar las transferencias y bloquear la cuentatras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, quepedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permiteburlar las medidas de seguridadque sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino tambiénen otros muchos escenarios.

We’re temporarily turning off the ability to Tweet via SMS, or text message, to protect people’s accounts.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey,sufrió un ataque similarque provocó que de repente en su cuenta de Twitter (@jack)aparecieran mensajes ofensivos y racistasque fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacanteusara la función de publicar en Twitter mediante mensajes SMSque fue una de las características originales del servicio.

Los mensajes ofensivosprovocaron una reacción inmediataen Dorsey, que anunció que Twitterdeshabilitaba el envío de mensajes a la plataformaa través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —queno es el únicoque afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente:si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, quedeberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM.Las verificaciones de identidad aquí deben ser exhaustivaspara evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha vistoes muy vulnerabledesde hace ya tiempo,como apuntabael experto en seguridad Bruce Schneier. Es por esta razón por la quetodas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasosy utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles.Microsoft Authenticator, Google Authenticator o Authyestán entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Aún más interesantes son las llaves U2F(Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándarFIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con susTitan Security Keys, aunquerecientemente anuncióque un teléfono Android podía convertirse también en una llave de seguridad.

Imagen |Andrey Metelev