Crees que estás tomando todas las decisiones correctas. Eres inteligente con tu seguridad. La autenticación de dos factores está habilitada en todas sus cuentas. Pero los piratas informáticos tienen una forma de evitar esto: el intercambio de tarjetas SIM.
Es un método de ataque devastador con consecuencias desastrosas para quienes son víctimas de él. Afortunadamente, hay maneras de protegerse. Así es como funciona y lo que puede hacer.
¿Qué es un ataque SIM-Swap?
No hay nada intrínsecamente malo con el «cambio de tarjeta SIM». Si alguna vez pierde su teléfono, su proveedor realizará un cambio de tarjeta SIM y transferirá su número de teléfono celular a una nueva tarjeta SIM. Esta es una tarea rutinaria de servicio al cliente.
El problema es que los piratas informáticos y los delincuentes organizados han descubierto cómo engañar a las compañías telefónicas para que realicen intercambios de tarjetas SIM. Luego pueden acceder a cuentas protegidas por autenticación de dos factores (2FA) a través de SMS.
De repente, su número de teléfono está asociado con el teléfono de otra persona. El criminal entonces recibe todos los mensajes de texto y llamadas telefónicas destinadas a usted.
La autenticación de dos factores se diseñó en respuesta al problema de las filtraciones de contraseñas. Muchos sitios no protegen adecuadamente las contraseñas. Usan hashing y salting para evitar que terceros lean las contraseñas en su forma original.
Peor aún, muchas personas reutilizan contraseñas en diferentes sitios. Cuando se piratea un sitio, un atacante ahora tiene todo lo que necesita para atacar cuentas en otras plataformas, creando un efecto de bola de nieve.
Por razones de seguridad, muchos servicios requieren que los usuarios proporcionen una contraseña especial de un solo uso (OTP) cada vez que inician sesión en una cuenta. Estas OTP se generan sobre la marcha y solo son válidas una vez. También expiran después de un corto tiempo.
Para mayor comodidad, muchos sitios envían estas OTP a su teléfono en un mensaje de texto, lo que conlleva su propio riesgo. ¿Qué pasa si un atacante puede obtener su número de teléfono, ya sea robándolo o haciendo un intercambio de SIM? Esto le da a esa persona acceso casi ilimitado a su vida digital, incluidas sus cuentas bancarias y financieras.
Entonces, ¿cómo funciona un ataque de intercambio de SIM? Bueno, depende de que el atacante engañe a un empleado de la compañía telefónica para que transfiera su número de teléfono a una tarjeta SIM que controle. Esto se puede hacer por teléfono o en persona en una tienda de teléfonos.
Para hacer esto, el abusador necesita saber un poco más sobre la víctima. Afortunadamente, las redes sociales están llenas de detalles biográficos que podrían engañar a una pregunta de seguridad. Su primera escuela, mascota o interés amoroso y el apellido de soltera de su madre se pueden encontrar en sus cuentas sociales. Por supuesto, si eso falla, siempre hay phishing.
Los ataques de intercambio de SIM son complejos y requieren mucho tiempo, lo que los hace más adecuados para incursiones dirigidas contra un individuo específico. Es difícil eliminarlos a gran escala. Sin embargo, ha habido algunos ejemplos de ataques generalizados de intercambio de SIM. Una banda brasileña del crimen organizado ha sido capaz de intercambiar SIM 5,000 muertes durante un período de tiempo relativamente corto.
Una estafa de «portación externa» es similar y consiste en secuestrar su número de teléfono «portándolo» a un nuevo operador de telefonía móvil.
¿Quién está más en riesgo?
Debido al esfuerzo requerido, los ataques de intercambio de SIM tienden a tener resultados particularmente dramáticos. El motivo es casi siempre económico.
Recientemente, los intercambios de criptomonedas y las billeteras han sido objetivos populares. Esta popularidad se ve agravada por el hecho de que, a diferencia de los servicios financieros tradicionales, no hay devoluciones de cargo con Bitcoin. Una vez que se envía, se ha ido.
Además, cualquiera puede crear una billetera de criptomonedas sin tener que registrarse en un banco. Es lo más parecido al anonimato del dinero, lo que facilita el lavado de fondos robados.
Una víctima muy conocida que aprendió esto de la manera más difícil es Inversor de Bitcoin, Michael Tarpin, que perdió 1500 monedas en un ataque de intercambio de SIM. Esto sucedió solo unas semanas antes de que Bitcoin alcanzara su máximo histórico. En ese momento, los activos de Tarpin valían más de $ 24 millones.
Cuando el reportero de ZDNet Matthew Miller fue víctima de un ataque de intercambio de SIM, el pirata informático intentó comprar $ 25,000 en Bitcoin usando su banco. Afortunadamente, el banco pudo revertir el cargo antes de que el dinero saliera de su cuenta. Sin embargo, el atacante aún pudo destrozar toda la vida en línea de Miller, incluidas sus cuentas de Google y Twitter.
A veces, el objetivo de un ataque de intercambio de SIM es avergonzar a la víctima. Esta cruel lección la aprendió el fundador de Twitter y Square, Jack Dorsey, el 30 de agosto de 2019. hackeó su cuenta y publicó epítetos racistas y antisemitas en su feed, que es seguido por millones de personas.
¿Cómo sabes que se ha producido un ataque?
La primera señal de una cuenta de intercambio de SIM es que la tarjeta SIM está perdiendo servicio. Ya no podrás recibir ni enviar mensajes de texto ni llamadas, ni acceder a Internet a través de tu plan de datos.
En algunos casos, su operador de telefonía puede enviarle un SMS informándole que el intercambio está en curso, unos momentos antes de transferir su número a la nueva tarjeta SIM. Esto es lo que le pasó a Miller:
“A las 23:30 horas del lunes 10 de junio, mi hija mayor me sacudió el hombro para despertarme de un sueño profundo. Dijo que parecía que mi cuenta de Twitter había sido pirateada. Resulta que las cosas eran mucho peores que eso.
Después de levantarme de la cama, tomé mi Apple iPhone XS y vi un mensaje de texto que decía: «Alerta de T-Mobile: se cambió la tarjeta SIM para xxx-xxx-xxxx». Si este cambio no está autorizado, llame al 611.’ »
Si aún tiene acceso a su cuenta de correo electrónico, es posible que también comience a ver actividad extraña, incluidas notificaciones de cambios en la cuenta y pedidos en línea que no ha realizado.
¿Cómo deberías responder?
Cuando ocurre un ataque de intercambio de tarjeta SIM, es crucial que tome medidas inmediatas y decisivas para evitar que las cosas empeoren.
Primero, llame a su banco y compañías de tarjetas de crédito y solicite un congelamiento de sus cuentas. Esto evitará que el atacante use sus fondos para compras fraudulentas. Dado que también ha sido víctima de robo de identidad, también es una buena idea comunicarse con las distintas agencias de crédito y solicitar un congelamiento de su crédito.
Luego intente «adelantarse» a los atacantes moviendo tantas cuentas como sea posible a una nueva cuenta de correo electrónico no contaminada. Desvincule su antiguo número de teléfono y use contraseñas seguras (y completamente nuevas). Para cualquier cuenta a la que no pueda llegar a tiempo, comuníquese con el servicio al cliente.
Finalmente, debe comunicarse con la policía y presentar una denuncia. No puedo decirlo lo suficiente, eres víctima de un crimen. Muchas pólizas de seguro de hogar incluyen protección contra el robo de identidad. Presentar un informe policial puede permitirle presentar un reclamo contra su póliza y recuperar dinero.
Cómo protegerse de un ataque
cameron verano
Por supuesto, más vale prevenir que curar. La mejor manera de protegerse contra los ataques de intercambio de SIM es simplemente no usar 2FA basado en SMS. Afortunadamente, existen alternativas interesantes.
Puede usar un programa de autenticación basado en una aplicación, como Google Authenticator. Para otro nivel de seguridad, puede optar por comprar un token de autenticación físico, como YubiKey o Google Titan Key.
Si es absolutamente necesario usar texto o 2FA basado en llamadas, debe considerar invertir en una tarjeta SIM dedicada que no use en ningún otro lugar. Otra opción es usar un número de Google Voice, aunque esto no está disponible en la mayoría de los países.
Desafortunadamente, incluso si está utilizando 2FA basado en una aplicación o una clave de seguridad física, muchos servicios le permitirán omitirlos y recuperar el acceso a su cuenta a través de un mensaje de texto a su número de teléfono. Los servicios como Google Advanced Protection brindan una seguridad sólida para las personas en riesgo de ser atacadas, «como periodistas, activistas, líderes empresariales y equipos de campañas políticas».