Ataques de intercambio de SIM: robar todo, desde sus Bitcoins a sus cuentas de Instagram

SIM Swapping

A menudo ve y escucha a las personas comparar una contraseña con una clave física. Si bien es obvio de dónde provienen los paralelos, hay bastantes diferencias. Por ejemplo, sin la llave, no puede desbloquear la puerta. Sin embargo, es posible obtener acceso a una cuenta sin la contraseña, y todo gracias a un ataque llamado intercambio de SIM.

¿Qué es el intercambio de SIM?

También conocido como secuestro de SIM o una estafa de puertos, es justo decir que tiene uno de los nombres más descriptivos. Es el acto de secuestrar el número de teléfono celular de una víctima y usarlo con una tarjeta SIM diferente. El intercambio de SIM ha existido durante algunos años, y aunque aún no ha recibido una atención significativa de los medios de comunicación, parece estar creciendo en popularidad, especialmente como lo descubriremos en un minuto, con los cibercriminales adolescentes en ciernes.

¿Cómo funciona todo?

El intercambio de SIM es un tipo de robo de identidad y, como ya debe saber, el robo de identidad es posible por el hecho de que los delincuentes tienen acceso a sus datos. No es sorprendente que, en este caso, necesiten su nombre, su número de teléfono celular y, en algunos casos, algunos otros detalles. Todavía no está claro cuáles son los mecanismos exactos, pero una investigación reciente de Motherboard sugiere que tanto las precauciones de seguridad como las técnicas para evitarlas están evolucionando.

Hace un par de años, los delincuentes encontrarían la información de la víctima en una base de datos filtrada y llamarían al transportista. Hacían pasar por la víctima alegando que habían perdido su tarjeta SIM. Dirían que tienen otro y solicitarían que el número se transfiera a él. En aquel entonces, los protocolos de seguridad de los operadores eran menos que perfectos. El representante de servicio al cliente solicitaría el Número de Seguro Social o la dirección de la casa de la víctima, los piratas informáticos se lo proporcionarían y el operador con mucho gusto transferiría el número a la tarjeta SIM incorrecta.

Muchas personas sufrieron quemaduras graves y, para evitar más problemas, los proveedores de servicios móviles no tuvieron más remedio que actualizar los mecanismos de autenticación. El juego se ensució. Los delincuentes comenzaron a sobornar a los empleados de los transportistas que ayudaron a portar ilegalmente los números de teléfonos celulares de algunas personas. Los trabajadores corruptos también obtuvieron bastante efectivo por su cooperación, entre $80 y $100 por víctima.

¿Para qué se utiliza el intercambio de SIM?

La policía está tomando en serio el intercambio de SIM, y las agencias han seguido a un grupo de delincuentes que han defraudado a muchas personas que utilizan esta técnica. El mes pasado, arrestaron a Joel Ortiz, de 20 años, quien presuntamente secuestró los números de teléfono celular de unas 40 personas. El 17 de agosto, Xzavier Narváez, que solo tiene 19 años, fue interrogado con respecto a una operación de intercambio de SIM a gran escala. Básicamente, hay adolescentes que tienen en sus manos el número de teléfono de otra persona. Desafortunadamente, los resultados son mucho más serios que algunas llamadas de broma.

Hace un tiempo, los proveedores de servicios en línea como Google comenzaron a permitirle agregar su número de teléfono a su cuenta. No es un seguimiento y recopilación de datos sin sentido. La idea es que si alguna vez pierde el acceso a su perfil, Google podrá verificarlo mediante un mensaje de texto o una llamada al número que ha proporcionado. Los intercambiadores de SIM ahora abusan del mismo mecanismo exacto de recuperación de cuenta.

Cuando secuestran con éxito el número de teléfono, los delincuentes deben actuar rápidamente porque antes de cortar a la víctima, el operador envía una notificación de texto con respecto a la tarjeta SIM actualizada. Según los informes, los intercambiadores de SIM usan el número secuestrado para obtener acceso al correo electrónico de la víctima, y luego reinician las contraseñas para otras cuentas en línea. Se mueven bastante rápido y casi no dejan tiempo para reaccionar. Debido a que los delincuentes reciben todos los mensajes de texto y llamadas de la víctima, a menudo se omite la autenticación de dos factores.

Sin embargo, los intercambiadores de SIM no se dirigen a cualquiera. La investigación de Motherboard informó sobre un bullicioso mercado en línea donde las cuentas de Instagram robadas con tiradores interesantes como "@Rainbow" se compran y venden por cientos y, a veces, miles de dólares.

Hablando de Instagram, el mencionado Xzavier Narváez hizo lo que haría cualquier joven de 19 años: utilizó la plataforma para compartir imágenes para mostrarle al mundo lo caro que es su nuevo superdeportivo. Los agentes de la ley sospechan que puede haberlo comprado con bitcoins que robó después de que SIM intercambió los números de teléfono de algunos comerciantes de criptomonedas de alto perfil. En abril, uno de esos operadores con el nombre de Michael Terpin presentó una demanda contra AT&T alegando que debido a las malas prácticas de seguridad del operador, fue víctima de un ataque de intercambio de SIM que le costó más de $20 millones en criptomonedas.

Los delincuentes se están enamorando más profundamente del intercambio de SIM, lo que, hay que decir, no es una sorpresa. La relación de habilidades requeridas a ganancias potenciales es excelente para ellos, y es obvio que los proveedores de servicios móviles no están haciendo lo suficiente para frustrar los ataques. Esperamos que esto cambie pronto.

November 22, 2019
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.