Siempre ha sido España un país de pícaros, cosa que ya en el siglo XVI, en pleno siglo de oro de las letras españolas, dio lugar al género literario de la novela picaresca. En estos libros, el protagonista es un pícaro, un antihéroe cuya principal aspiración es mejorar su condición social, para lo cual recurre a su astucia y a procedimientos ilegítimos como el engaño y la estafa.
En el paradigma de este género literario, encontramos el libro de El Lazarillo de Tormes, en la que en su inicio describe a un Lázaro joven, inocente e ignorante. Prueba de ello el siguiente pasaje del libro:
Salimos de Salamanca, y, llegando a la puente, está a la entrada de ella un animal de piedra, que casi tiene forma de toro, y el ciego mandóme que llegase cerca del animal, y, allí puesto, me dijo:
-Lázaro, llega el oído a este toro y oirás gran ruido dentro de él.
Yo simplemente llegué, creyendo ser así. Y como sintió que tenía la cabeza par de la piedra, afirmó recio la mano y diome una gran calabazada en el diablo del toro, que más de tres días me duró el dolor de la cornada, y díjome:
-Necio, aprende, que el mozo del ciego un punto ha de saber más que el diablo.
Y rió mucho la burla.
Parecióme que en aquel instante desperté de la simpleza en que, como niño, dormido estaba. Dije entre mí: «Verdad dice éste, que me cumple avivar el ojo y avisar, pues solo soy, y pensar cómo me sepa valer».
El porqué de todo este preámbulo literario viene justificado porque el SIM Swapping, del que hablaremos en este artículo, es una estafa de picaresca “de libro” en la que intervienen estos dos perfiles, que son ahora tan actuales como ya lo eran en el siglo XVI: El pícaro y el inocente o ignorante. Todo esto, claro está, llevado al mundo de las nuevas tecnologías.
¿Qué es el SIM Swapping?
Se podría definir el SIM Swapping como una técnica de ciberdelincuencia consistente en conseguir un duplicado de la tarjeta SIM del usuario con el objetivo final de suplantar la identidad del usuario frente a algunos servicios Web.
¿Una vulnerabilidad de los sistemas digitales?
El SIM swapping es una técnica que consta de 2 partes diferenciadas. Por un lado hay una parte de ingeniería social, que permite al atacante obtener una serie de datos personales del usuario al que se dirige el ataque, pudiendo incluir aquí también credenciales de algunas de las cuentas del usuario en algunos casos.
A continuación se lleva a cabo la solicitud de la emisión del duplicado de la SIM al operador de comunicaciones pertinente, utilizando, para legitimar la identidad del titular de la línea, los datos personales obtenidos en la primera fase o incluso datos personales publicados en RRSS o en otras páginas de Internet de manera abierta.
Como se puede apreciar en el funcionamiento, no se trata de ninguna brecha de seguridad de ningún dispositivo móvil, ni de ningún sistema operativo, sino simple y llanamente de algo tan antiguo como la picaresca. Eso sí, apoyada en los siguientes puntos:
- La falta de implementación de protocolos de verificación estrictos a la hora solicitar una copia de nuestra tarjeta SIM por parte de las operadores.
- La despreocupación con la que los usuarios introducen sus datos personales en páginas Web de dudosa fiabilidad, que son las que utilizan los atacantes para conseguir dichos datos.
¿Cómo detectarlo?
La principal prueba de que se ha emitido un duplicado de la tarjeta SIM es comprobar que no se dispone de cobertura ni de conexión a Internet en nuestros dispositivos móviles, debido a que desde el momento en el que se lleva a cabo el duplicado, la tarjeta original deja de estar operativa.
Objetivos del SIM Swapping
El objetivo final de esta técnica es la suplantación de la identidad del usuario en todos aquellos servicios web en los que el teléfono móvil del usuario sea una pieza de seguridad básica, por ejemplo en procesos como los siguientes:
- Operaciones en servicios bancarios a los que el atacante tiene acceso mediante los datos obtenidos en la primera fase de ingeniería social y para los que son necesarios métodos de 2FA basados en SMS al móvil del usuario.
- Cambios de contraseña y control de cuentas en las que es posible un cambio de contraseña mediante una validación con SMS. Cuentas de correo electrónico, cuentas en RRSS y otro tipo de cuentas.
Protección frente a ataques de SIM Swapping
Una vez más, el sentido común y la prudencia son los mejores aliados frente a este tipo de ataques. Se indican a continuación algunas técnicas o consejos que pueden ser útiles para no ser víctima del SIM swapping.
- Extremar la prudencia antes los posibles correos electrónicos de phishing y otras técnicas de ingeniería social mediante las que los ciber delincuentes intentan acceder a tus datos personales.
- Utilizar aplicaciones de autenticación, como Google Authenticator, como método 2FA (Two-Factor Authentication) para acceder a los servicios Web que utilicemos. Estos sistemas ofrecen autenticación de dos factores pero vinculada a tu dispositivo físico en lugar de a tu número de teléfono.
- Uso posible de llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico o la propia Google con las llaves Titan son muy conocidos por estas soluciones.
- Poner especial atención en el caso de la operativa con la cuenta bancaria, no basando la seguridad de determinadas operaciones en el número de teléfono.
Algunos ejemplos de SIM Swapping
En las siguientes URL se pueden ver casos reales de ciber ataques basados en SIM swapping:
- Desarticulada una organización criminal internacional especializada en la comisión de estafas por el método de SIM swapping
- Detenidos 19 ciberdelincuentes expertos en SIM swapping
- SIM-swapping 21-year-old scores $1 million by hijacking a phone
Conclusiones
No estamos ya en el siglo XVI, pero en pleno siglo XXI, donde las comunicaciones y el flujo de datos en Internet es prácticamente ubicuo, tenemos que pensar que existen los mismos pícaros que entonces, llamados ciber delincuentes ahora, pero con las mismas insanas intenciones que hace 5 siglos.
Debemos por lo tanto extremar las precauciones en Internet para evitar que los pícaros se salgan con la suya.
*[2FA]: Two-Factor Authentication. Autenticación en dos pasos.
*[RRSS]: Redes Sociales.
*[phishing]: Engañar a una víctima ganándose su confianza, haciéndose pasar por una persona, empresa o servicio de confianza.
*[swapping]: Intercambio.
*[U2F]: Universal 2nd Factor keys.
