Políticos, celebridades, consumidores e incluso el CEO de Twitter, Jack Dorsey. Cualquier persona puede ser objetivo del SIM Swap (también conocido como SIM Swapping), fraude que ganó los titulares luego de victimizar a Dorsey el año pasado y que actualmente se consolidó como una de las principales amenazas para la industria móvil en América Latina. Básicamente caracterizado como la transferencia de la línea del usuario a un chip en blanco, el golpe permite que los hackers controlen el teléfono de terceros, permitiendo interceptar llamadas y mensajes, invadir cuentas bancarias y redes sociales, por ejemplo, y hasta el robo de criptomonedas. Según relevamientos del sector, de cada cinco intentos de SIM Swap, cuatro logran su objetivo.
El aumento creciente de casos de este tipo en todo el mundo se puede explicar por el enorme contingente de teléfonos celulares en uso y, por lo tanto, por la alta disponibilidad de víctimas potenciales. Según el informe “La Economía Móvil 2019”, elaborado por la GSMA, 5,1 mil millones de personas tienen celular, lo que equivale al 67% de la población mundial. América Latina, donde estos incidentes han sucedido con mucha frecuencia, aparece en cuarto lugar en el ranking de las regiones con más dispositivos del tipo, con 67% de penetración. Pero más allá de esto, en promedio, una persona gasta cinco horas por día utilizando los aparatos, aumentando los momentos de vulnerabilidad.
Los atacantes normalmente utilizan algunas estrategias para realizar el cambio de chip. Una de ellas es solicitar a las operadoras móviles a portar un número de teléfono a otro dispositivo, transfiriendo el control del número al delincuente. El proceso, que muchas veces no requiere muchas informaciones además del nombre, número del celular y fecha de nacimiento, se realiza sin complicaciones, incluso porque en principio está dirigido a atender a los clientes en el momento de la compra de un nuevo aparato, pérdida o rotura del teléfono.
Otra forma utilizada para acceder al chip es contar con una base de datos específica, comercializada de forma indebida por terceros infringiendo leyes de privacidad del usuario, con informaciones sobre números de celular, principalmente de autoridades, celebridades y políticos, a los ciberdelincuentes. En este contexto, el invasor no necesita ni siquiera de ingeniería social para obtener informaciones sobre la víctima, y el camino a extorsiones y exposición de los hackeados queda abierto con mayor facilidad.
Recientemente, Europol, servicio europeo de policía, anunció la prisión de más de 20 personas sospechosas de vaciar cuentas bancarias al secuestrar los números de teléfono de las víctimas por medio de SIM Swap. En los Estados Unidos, de acuerdo con la Federal Trade Commission (FTC), el número de reclamos sobre cambio de SIM aumentó sustancialmente, de 215, en 2016, a 728 a noviembre de 2019.
De acuerdo a Positive Technologies, especializada en análisis y monitoreo de las redes móviles de decenas de operadoras en todo el mundo, los consumidores deben apostar a la autenticación en dos factores, sin utilizar, mientras tanto, el SMS, que utiliza el número de celular como factor de seguridad.
Con relación a las operadoras, Henrique señala que LGPD puede ser una ayuda importante en el combate al SIM Swap, ya que las empresas estarán obligadas a reportar fugas, lo que tiende a aumentar la búsqueda de medidas de seguridad. “Algunas operadoras móviles latinoamericanas ya cuentan con un proceso más sólido para evitar este tipo de ataque por medio de la detección de reemisión de SIM / cambio de teléfono móvil basado en la correlación IMSI-IMEI-MSISDN. Pero es imprescindible el empleo de tecnologías que ayuden a acortar el tiempo de respuesta, disminuyendo los potenciales perjuicios de la víctima”, completa el ejecutivo.