El SIM-swapping es un cambio o duplicado de tarjeta SIM para pasar los datos a una nueva tarjeta controlada por los hackers.
Tras recabar información personal sobre la víctima, el atacante se hace pasar por ella ante los agentes de la compañía telefónica, usualmente alegando la perdida de la misma para obtener una nueva.
Cabe destacar que el SIM-swapping no se trata de una falla de seguridad en el equipo, sino de las pobres medidas de verificación de la identidad que suelen solicitar algunos operadores. La ingeniería social se utiliza con el trabajador de la operadora, no con el propio usuario.
Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales, realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta.
Muchas veces ocurre que los usuarios victima se dan cuenta qué existe algún problema cuando dejan de tener señal en su teléfono.
Una vez conseguida la copia de la SIM de la víctima, los atacantes pueden utilizarla para poder recibir los códigos de verificación por SMS (doble factor de autenticación) de banca en linea, redes sociales o cualquier otra plataforma que utilice este sistema de 2FA.
¿Cómo puedes evitar el SIM-swapping?
Cualquiera puede ser víctima de este peligroso fraude relacionado con las tarjetas SIM. Sin embargo, hay varias prácticas que puedes tener en cuenta a la hora de protegerte del SIM-swapping
No publiques mucha información personal en Internet, especialmente en las redes sociales. Cuantos más datos tuyos haya en la red, más fácil lo tendrán los hackers para hacerse pasar por ti.
Lo mismo sucede con tu teléfono móvil, no es el lugar más seguro para guardar toda tu información.
Utiliza siempre la doble verificación y otros sistemas de refuerzo de seguridad. Además, protege todas tus contraseñas manteniéndolas totalmente privadas.
Pídele a tu operadora que te solicite más datos personales cuando vayas a realizar cualquier trámite.
No vincules tu número de teléfono con tus cuentas bancarias.
Fuente: CSIRT PANAMA (Computer Security Incident Response Team).