Uno de los tipos de ataques que más auge ha tenido en los últimos tiempos es de los cibercriminales que duplican o clonan una SIM –la pequeña tarjeta que guarda el número de teléfono y el número PIN de acceso de la persona– para hacerse con el control del teléfono móvil de alguien. Es el llamado «SIM swapping» (literalmente: «cambiazo de SIM»).
Cómo son los ataques de las tarjetas SIM clonadas
Llevar a cabo este tipo de ataque es relativamente simple, aunque la dificultad varía dependiendo del país, las ciudades y las compañías telefónicas y sus protocolos. En general consiste en engañar mediante «ingeniería social» a alguna tienda u operador telefónico diciendo que se ha perdido el móvil y se necesita un teléfono y una SIM nueva asociada al mismo número. Se suelen usar muchos datos personales de la víctima recabados de las redes sociales u otras fuentes. Esto, sumado a la seguridad endeble de muchas cuentas es lo que hace posibles muchos de los ataques.
Una vez los atacantes disponen de la nueva SIM pueden utilizarla en cualquier teléfono móvil para hacerse pasar por la otra persona, acceder a algunos servicios y recuperar sus contraseñas. Esto desencadena un fallo de seguridad en cascada a medida que se van consiguiendo accesos. Los más jugosos para los ciberdelincuentes son las claves de acceso a la banca online o las cuentas de administradores de empresas, como le sucedió a Twitter recientemente. En esto combinan varios tipos de ataques (como el phishing, que engaña a la víctima para que intente entrar en una web falsa con sus contraseñas auténticas). Cuando disponen de la cuenta, la contraseña y la SIM clonada ya pueden realizar transferencias como si fueran la persona propietaria de la cuenta.
Aunque nadie puede evitar que le intenten clonar la SIM, hay ciertas señales que permiten darse cuenta de que esto puede estar sucediendo, por ejemplo al recibir:
- Correos o SMS con códigos o avisos de cambio de contraseñas.
- Alertas de ciertos servicios sobre cambios en la cuentas.
- Mensajes extraños y sospechosos de personas conocidas.
- El teléfono pierde la conexión de repente sin razón aparente.
- Al preguntar en la tienda o servicio técnico confirman que la SIM o el teléfono aparecen como «robados, perdidos o cambiados de operador».
Que el teléfono pierda la conexión con la red telefónica puede ser también una señal importante; así como que de repente no se pueda entrar a sitios como el correo electrónico personal o las redes sociales («contraseña incorrecta»), como si se hubieran olvidado las contraseñas.
Cuando los cibercriminales han logrado vulnerar la seguridad inicial e inician el «clonado de la SIM» el efecto es tal que pueden verse vulneradas:
- Cuentas de correo
- Cuentas de redes sociales
- Cuentas de mensajería: WhatsApp, Facebook, Telegram, etc.
- Datos y cuentas bancarias poco protegidas
Lo que resulta demoledor es que, a partir de cada servicio vulnerado, se puede recopilar más y más información. Por ejemplo, es fácil recuperar las contraseñas de todas partes como si se hubieran «olvidado». Todo el que ha hecho esto alguna vez sabe que llegan unos enlaces para crear una contraseña nueva, ya sea por correo o por SMS… El problema es cuando esos correos o SMS están controlados por los atacantes.
Los cibercriminales pueden incluso leer los correos antiguos o escribir mensajes para engañar a amigos y familiares para que envíen dinero haciéndose pasar por la persona atacada. Hay muchos casos en los que piden dinero para una «emergencia» de algún tipo, aludiendo a un viaje inesperado o algún problema personal o de negocios, sin que las víctimas sospechen, puesto que reciben los mensajes por los canales habituales que consideran seguros.
Hay algunas medidas para evitar todo esto de forma sencilla:
- No dar datos personales alegremente en redes sociales y sitios públicos (números de DNI, compañías de la luz/gas/teléfono o bancos, fecha de nacimiento, dirección postal, etcétera).
- Elegir contraseñas seguras o usar un gestor de contraseñas.
- Tener el software actualizado en todos los dispositivos.
- Usar un buen antivirus / antispam.
- No hacer clic en enlaces extraños poco fiables.
Todo esto evita la primera oleada de ataques para hacerse con la primera de las contraseñas. Además de eso, cada vez son más los servicios que permiten la denominada autenticación de dos factores (2FA) donde se necesita saber algo (una contraseña) y poseer algo (una «llave») para identificarse a la hora de entrar e iniciar una sesión. Estas llaves pueden ser:
- Una llave física USB, como las populares Yubico.
- Un terminal móvil concreto (aunque la SIM haya sido clonada).
- Un software especial autenticador (como Google Authenticator o similar).
En general en estas cuestiones siempre se trata de mantener cierto equilibrio entre la comodidad y la seguridad. Por ejemplo, no es muy cómodo tener que usar una llave física para entrar al correo varias veces al día o para acceder a las redes sociales. Sin embargo, es la mejor opción para mantener seguras las contraseñas de servicios donde se mueva dinero, como bancos, carteras electrónicas o servicios como PayPal y Bizum. Es una «segunda capa de seguridad» muy conveniente y barata a la vez. También sirven los móviles que permiten asociar la huella dactilar al acceso al banco; en este caso la huella es la autenticación 2FA.
Lo más importante, en cualquier caso, es el factor humano. Si se está atento a las señales de que «algo raro está sucediendo», se controlan las transacciones a diario y se usan medidas como llaves físicas USB o software de autenticación el problema se puede minimizar. Aunque alguien intente hacerse con una SIM duplicada lo tendrá más complicado y no logrará su objetivo.
___
{Fotos @ Unsplash; imagen Afsal CMK @ OpenIDEO}
Álvaro Ibánez
Microsiervos
Álvaro es editor de Microsiervos, uno de los más conocidos blogs de divulgación sobre ciencia, tecnología e Internet en castellano. Participó en el nacimiento de proyectos españoles de internet como Ya.com/Jazztel y Terra/Telefónica y anteriormente trabajó en el mundo editorial de revistas técnicas.
