La clonación de tarjetas SIM aumenta en la región

El ‘SIM swap’, conocido popularmente como la “clonación de tarjetas SIM”, es un fraude que está siendo ampliamente utilizado por cibercriminales en América Latina, advirtió esta semana la compañía experta en ciberseguridad Kaspersky Lab.

“La técnica en sí es un recurso legítimo que se emplea cuando un smartphone se pierde o es robado, permitiéndole al dueño del dispositivo activar el mismo número en otra tarjeta SIM. Sin embargo, los criminales están aprovechando esta práctica para engañar a las operadoras de celulares para transferir el número de un dispositivo robado a una nueva tarjeta SIM”, informa la empresa.

Una investigación conjunta entre Kaspersky Lab y el CERT de Mozambique descubrió que ataques como estos se han propagado alrededor del mundo, utilizados por los ciberdelincuentes no sólo para robar credenciales y obtener contraseñas de un solo uso (OTP, por sus siglas en inglés) enviadas por SMS, sino también para robar el dinero de sus víctimas.

Los pagos móviles se han vuelto muy populares, especialmente en mercados emergentes como África y América Latina, pues facilitan a los consumidores depositar y retirar dinero, así como pagar por mercancías y servicios, a través de un dispositivo móvil. Sin embargo, actualmente los pagos móviles han sido blanco de una ola de ataques resultando en la perdida de dinero para muchas personas, todo debido a la clonación de tarjetas SIM que se realiza a gran escala.

Ponte alerta

El fraude comienza cuando el estafador obtiene detalles de la víctima valiéndose de correos electrónicos de phishing, ingeniería social, una fuga de datos o incluso comprando la información a grupos del crimen organizado. Una vez obtenidos los detalles necesarios, el cibercriminal se pone en contacto con el proveedor del servicio móvil haciéndose pasar por la víctima para que el proveedor pase y active el número telefónico a la tarjeta SIM del estafador. Cuando esto ocurre, el teléfono de la víctima pierde la conexión a la red y el estafador recibe todos los SMSs y las llamadas de voz dirigidas a la víctima, lo que hace vulnerables todos los servicios que dependen de doble factor para su autentificación.

Para tener una idea del impacto de este tipo de ataques, solo en Brasil, un grupo organizado pudo clonar las tarjetas SIM de 5.000 víctimas, entre las cuales se vieron afectados políticos, ministros, gobernadores, celebridades y empresarios de alto perfil. En Mozambique, un ataque causó pérdidas de US$50.000 a un solo empresario, mientras que en Brasil se han registrado pérdidas de hasta US$2.500 por ataque. No obstante, el verdadero impacto de este fraude en América Latina, África y en todo el mundo resulta difícil de estimar, ya que la mayoría de los bancos no comparte este tipo de estadísticas públicamente.

¿Qué hacer? Para evitar ser víctima, Kaspersky Lab ofrece las siguientes recomendaciones:

- Cuando sea posible, los usuarios deben evitar el uso de la autentificación de doble factor por vía de SMS y optar por otras vías, como la de generar una OTP en una aplicación móvil (como Google Authenticator) o usar un token físico. Desafortunadamente, algunos servicios en línea no ofrecen otra alternativa. En tales casos, el usuario necesita estar al tanto de los riesgos.

- Cuando se solicite un cambio de SIM, los operadores deben implementar un mensaje automático que se envíe al número para comunicarle al propietario de que ha habido un pedido de cambio de SIM y, si no es autorizado, el suscriptor debe ponerse en contacto con la línea directa de antifraude. Esto no evitará el secuestro pero alertará al suscriptor para que pueda responder con más rapidez en caso de una actividad maliciosa. - Para evitar el secuestro de cuenta de WhatsApp, los usuarios deben activar la autentificación de dos pasos usando un PIN de seis dígitos en su dispositivo, pues esto agrega otra capa de seguridad que no es tan fácil de burlar.

- Soliciten que retiren su número de las listas de aplicaciones de identificación de llamadas colectivas ya que estas pueden ser utilizadas por atacantes para encontrar su número con solo tener su nombre.