SIM swapping, que suena un poco a baile de moda, es en realidad un fraude telefónico, donde el atacante trata de obtener un duplicado de nuestra tarjeta SIM, con el objeto de usurpar nuestra identidad, y normalmente tratar de utilizarla en nuestro banco online.
Esto que parece enrevesado no lo es tanto, y si no que se lo digan a Jack Dorsey, el CEO de Twitter, al que el año pasado le hackearon su cuenta personal, de su propia red social a través de este método, consiguiendo publicar tweets de carácter racista. Lo que finalmente derivó, en la decisión de deshabilitar el envío de mensajes en Twitter a través de SMS, una de las señas y características originales del servicio.
También hay casos más cercanos, como el de un almeriense, publicado en el siguiente enlace del País, que pone los pelos de punta, y al que estafaron 50.000 euros a través de éste método, haciéndose pasar por él en varios movimientos bancarios.
Todo esto cobra actualidad además, porque recientemente varios canales de Youtube se han visto hackeados, con un objetivo similar al del reciente ataque a Twitter detallado en un post anterior: publicar una estafa relacionada a transferencias de Bitcoin. Y aunque todavía no está claro la metodología del ataque, uno de los afectados, Jon Prosser, con más de 40.000 seguidores en su canal, destaca que tenía habilitada la autenticación de dos factores, y apunta precisamente a esta técnica de SIM swapping.
En todo caso, uno se pregunta cómo es posible que suceda esto, bueno, pues básicamente por la combinación de 2 factores:
- Por un lado, lo sencillo que es pedir un duplicado de una tarjeta SIM, y la poca exigencia en lo relativo a verificación de identidad que las operadoras establecen durante el proceso.
- Por otro lado, el uso del SMS como sistema de autenticación en dos pasos, especialmente en la banca. Es mucho más seguro el uso de aplicaciones móviles, al estilo de Microsoft Authenticator, Google Authenticator o Authy.
Por tanto si de repente te quedas sin cobertura en tu móvil, y la SIM parece dejar de funcionar, lo mejor es que actúes rápido y trates de confirmar que no se trata de una estafa de este estilo.