En tu smartphone, además de tener la información privada y aplicaciones, la misma línea telefónica es de interés para los ciberdelincuentes, ya que se puede realizar un robo de datos y una suplantación de identidad en un robo de dinero desde la misma cuenta bancaria. ESET advierte sobre el SIM swapping, un fraude que permite a los criminales robar el número de teléfono al duplicar la tarjeta SIM.
Esta técnica cibercriminal no es producto de un fallo de seguridad en los smartphones, sino por la falta de implementación de protocolos de verificación a la hora de solicitar una copia de la tarjeta SIM. Además, se complementa con otras técnicas de ingeniería social, ya que lo que buscan los delincuentes es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias envían a los usuarios a los dispositivos móviles.
Los delincuentes tratan de obtener las credenciales del usuario relacionadas con la banca online para concretar el crimen, aunque no es el único objetivo. El robo de credenciales suele realizarse mediante técnicas de ingeniería social tradicionales, por ejemplo, usando webs fraudulentas a las que se redirige al usuario desde un enlace enviado a un correo electrónico o mediante una aplicación móvil falsa que suplanta la identidad de la entidad bancaria (Phishing).
Según ESET, una vez conseguidas las credenciales, los delincuentes tratan de clonar la SIM del smartphone de la víctima para poder recibir los códigos de verificación por SMS (doble factor de autenticación). Para eso, los cibercriminales se aprovechan de las escasas medidas de verificación de la identidad que suelen solicitar algunos operadores.
Tras recopilar la información personal de sus víctimas, por ejemplo, a través de las redes sociales (ingeniería social), realizan una llamada o se presentan físicamente en una tienda de la compañía telefónica responsable de la SIM que quieren clonar para solicitar un duplicado de la tarjeta. Los usuarios se dan cuenta que existe algún problema recién cuando dejan de tener señal en su teléfono.
Cuando los delincuentes consiguen este duplicado, pueden entrar a la cuenta bancaria de la víctima, realizar transferencias o incluso solicitar créditos en su nombre. A la hora de confirmar la operación reciben los mensajes con el doble factor de autenticación en la SIM clonada. Los delincuentes no solo buscan acceder a las cuentas bancarias de sus víctimas, sino a cuentas de servicios online como, por ejemplo, los de Google y las redes sociales.
Por su parte, Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, señala que para luchar contra esta amenaza haría falta un replanteamiento total del procedimiento de verificación de identidad que aún realizan muchas entidades bancarias y servicios online.