Tener la autenticación de dos factores (2FA) es una buena manera de mantener sus cuentas seguras, pero si es por mensaje de texto, no es infalible. El secuestro de SIM, o el intercambio de SIM, ha existido por un tiempo, pero a medida que nuestras identidades financieras existen cada vez más en línea, se está volviendo mucho más popular robar números de teléfono y usarlos para obtener acceso a las cuentas. Cada vez es más difícil lograrlo a medida que los operadores telefónicos mejoran lentamente sus procedimientos de seguridad y las aplicaciones 2FA como Google Authenticator y Authy se vuelven más comunes, pero a partir de 2018, sigue siendo un problema creciente.
¿Como funciona?
1. Encontrar un objetivo
Sentar las bases es una parte crucial del intercambio de SIM. Primero, los atacantes encuentran información personal sobre objetivos potenciales. Cualquier cosa, desde inicios de sesión bancarios hasta edad, ubicación, incluso números de seguro social, se puede encontrar flotando en la web. Si necesitan más, pueden usar un ataque de phishing para engañar a los usuarios para que revelen algo crucial.
2. Engañar al soporte técnico
Ahora que tienen una estrategia, el hacker llamará a su operador (es bastante fácil averiguar en qué operador está un número), usará lo que saben sobre usted para responder las preguntas de seguridad y les pedirá que transfieran el número a una nueva tarjeta SIM. Con un poco de ingeniería social, pueden engañar al representante de soporte técnico para que coloque el número de un usuario en un teléfono controlado por piratas informáticos.
3. Cambiar la SIM
Si el ataque tiene éxito, el operador le dará su número y SIM al atacante, y los usuarios pueden (o no) recibir un mensaje informándoles que su SIM ha sido actualizada o desactivada. Entonces no podrán realizar llamadas ni enviar mensajes de texto, momento en el que la mayoría de las personas se darán cuenta de que algo anda mal.
4. Acceso a cuentas
Una vez que el número está bajo el control del atacante, puede usarlo para obtener acceso a las cuentas usando sus capacidades 2FA o usándolo para restablecer sus contraseñas. Con su número de teléfono, a menudo solo necesitan saber su dirección de correo electrónico y posiblemente algunos datos personales para ingresar.
5. Tomar el control
Una vez dentro, los atacantes generalmente cambiarán las contraseñas, las direcciones de correo electrónico y otra información que podría permitir a los usuarios recuperar el control de sus cuentas. Si la cuenta pirateada es un banco, un intercambio de criptomonedas u otra institución financiera, tomarán dinero. Esto continuará hasta que hayan obtenido lo que quieren o hasta que se revoque el acceso del usuario.
¿Quién/Qué es hackeado?
Prácticamente todo el mundo corre el riesgo de que le roben su tarjeta SIM, pero como no es el ataque más sencillo de llevar a cabo, solo se puede atacar a un número determinado de personas a la vez. Las personas con información personal de fácil acceso, cuentas de redes sociales de alto perfil o cuentas financieras de alto valor son ciertamente vulnerables, pero eso no excluye que las personas promedio con un sentido decente de la seguridad en línea se encuentren con este problema. Incluso algo tan aparentemente inocuo como un identificador memorable de Instagram, como «@Rainbow», podría provocar un ataque, ya que estos pueden venderse por cantidades sorprendentemente grandes de dinero.
¿Qué pasa si me pasa a mí?
Si su teléfono pierde repentinamente el servicio en un lugar donde normalmente lo tiene, es posible que desee considerar consultar con su proveedor. Si sospecha un intercambio de SIM, debe:
- Encuentra una conexión lo antes posible y ponte en contacto con tu operador. El intercambio de SIM es un problema conocido, por lo que si encuentran evidencia de ello, probablemente sabrán qué hacer. Sin embargo, es posible que desee volver a consultar cada pocas horas para asegurarse de que nadie haya vuelto a entrar.
- Controle su correo electrónico y cualquier cuenta que sepa que está vinculada a su número.
- Si aparece alguna actividad sospechosa, elimine su número de teléfono de sus cuentas o, si es posible, cámbielo por un número VoIP o el número de otra persona.
- Asegúrese de que el representante de servicio al cliente bloquee su cuenta y le proporcione una nueva SIM, protegida contra cambios no autorizados por un PIN.
- Incluso si no está seguro de qué cuentas se han visto comprometidas, es más seguro seguir la práctica estándar posterior al pirateo y cambiar sus contraseñas y cualquier información confidencial, como números de cuenta, que pueda haber estado involucrada.
- Manténgase alerta. Si sucedió una vez, la información que está flotando en la Web podría volver a atormentarte nuevamente.
¿Cómo me protejo?
Desafortunadamente, muchos operadores, empresas e instituciones financieras aún tienen que implementar medidas de seguridad infalibles para evitar esto. Incluso con capas adicionales de seguridad en torno a la información del cliente, los atacantes pueden tener cómplices trabajando en el interior canalizando la información del cliente hacia los secuestradores. Dicho esto, hay algunas cosas que puedes hacer.
- Configure seguridad adicional con su operador: un PIN como mínimo, lo que requiere que cualquiera que desee realizar cambios en su cuenta lo ingrese.
- La 2FA basada en texto o voz es mejor que nada, pero si es posible, cambie su 2FA a una aplicación de autenticación como Google Authenticator o Authy. Estos no se pueden piratear con su SIM, pero lamentablemente aún no son una opción común de 2FA.
- Comience a usar un servicio de VoIP (Voz sobre Protocolo de Internet) como Google Voice. Dado que estos números de teléfono funcionan a través de Internet en lugar de usar una tarjeta SIM, son inmunes a ser intercambiados. Reemplace su número basado en SIM con el número de VoIP siempre que sea posible.
En conclusión: la piratería sucede
Incluso con un PIN, una aplicación de autenticación y un servicio VoIP, no es exactamente a prueba de balas: los PIN pueden ser robados, las aplicaciones de autenticación no son ampliamente compatibles y algunos servicios no le permitirán usar VoIP. En el mundo en constante cambio de la ciberseguridad, lo mejor que puede hacer en general es prepararse bien, estar atento a las actividades sospechosas y reaccionar rápidamente si sucede algo. Cuanto más fuerte sea su seguridad, menos probable es que se convierta en un objetivo, y cuanto más rápido reaccione, menor será la posibilidad de que se encuentre con unos pocos dólares o cuentas de Instagram más ligeras.