Duplicar su número de teléfono celular para vaciar su cuenta bancaria

Cuando se habla de robo, lo normal es imaginarse a una persona tomando por la fuerza algo que no le pertenece. Pero, ¿y si te dijéramos que podrían robarte el dinero que tienes en el banco sin que tú lo sepas y sin usar un ápice de fuerza? ¿Parecería posible?

El delito es tan simple de perpetrar como real. Se trata del fraude telefónico denominado intercambio de SIM, una técnica que consiste en duplicar la tarjeta SIM del teléfono móvil de la víctima. La finalidad es tener acceso al número de teléfono para usurpar la identidad del perjudicado para acceder a su cuenta bancaria y robar su dinero.

Al tener un clon de la tarjeta SIM, los delincuentes podrán recibir SMS con el código de confirmación necesario para acceder a la cuenta bancaria de la víctima. Estos SMS son un método de seguridad común al realizar diversas operaciones bancarias, como transferencias, solicitudes de préstamos o consultas simples de saldo.

Señales

Si estás en una llamada y se corta de repente, si notas que la cobertura desaparece de forma intermitente hasta desaparecer por completo, como el acceso a Internet desde el terminal, puede ser un problema técnico, pero también puedes ser víctima de Intercambio de SIM.

Por ejemplo, desde la propia web de BBVA recomiendan que si observas estas señales o tras sufrir el robo directo del terminal «es importante realizar la denuncia correspondiente de forma inmediata».

Historia de horror

En las redes sociales, muchos usuarios cuentan su experiencia personal después de haber sufrido este fraude telefónico. La propia escritora de estas líneas fue víctima de una duplicación de tarjeta SIM que pudo ser cancelada a través de la compañía telefónica antes de que se realizara cualquier gestión bancaria fraudulenta, aunque no todos los casos tienen final feliz.

Como mencionamos anteriormente, una de las señales más claras es la pérdida repentina de cobertura. En ocasiones los delincuentes, conscientes de la importancia de trabajar contrarreloj, tardan muy poco en acceder a la cuenta bancaria y vaciar lo que pueden e incluso pedir un préstamo para llevarse ese dinero extra.

Ciberataques anteriores

En muchas ocasiones, los delincuentes conocen varios datos personales de las víctimas antes del intercambio de SIM, que sería el paso final para retirar el dinero. Por ejemplo, pueden conocer las contraseñas mediante phishing, un fraude informático con el que se obtienen todo tipo de información.

Para obtener estos datos existen principalmente dos técnicas, a través del spam, envío de correos electrónicos, WhatsApp o SMS de forma masiva, haciéndose pasar por diferentes servicios o entidades para solicitar directamente los datos. A veces, estos mensajes pueden contener un enlace que, si se hace clic, el terminal puede verse comprometido por un programa oculto que rastrea toda la información y la envía a los delincuentes.

Otra técnica consiste en una recreación bastante exacta de los sitios web de los bancos reales. Solo en estas réplicas, luego de ingresar datos personales, en lugar de mostrar el saldo lo roban.

Poder antes que dinero

Esta técnica no solo se usa para robar dinero. Duplicar la SIM permite recuperar los contactos y así acceder, por ejemplo, al WhatsApp de la víctima. Esto también se aplica a las redes sociales, como fue el caso de Jack Dorsey, cofundador de Twitter, quien paradójicamente sufrió un hack en su cuenta de Twitter.

A fines del verano pasado, la cuenta de Dorsey comenzó a publicar una serie de mensajes racistas que mencionaban un servidor en Discord, pidiendo a las personas que se unieran y dejaran comentarios. La clave para saber cómo habían logrado acceder a la cuenta estaba en los tuits que revelaban desde qué servicio se escribían.

Se trataba de Cloudhopper, una empresa, aprobada como fuente con permiso para publicar en la red social, que permite publicar tweets vía SMS y propiedad de Twitter. Para lograr una hazaña tan criminal, los perpetradores habían duplicado la SIM de Dorsey y si podían usurpar la identidad del cofundador de Twitter, hacerlo con la tuya sería pan comido.

Como evitarlo

Solicitar una SIM duplicada es un procedimiento relativamente sencillo. Además, la autenticación o verificación en dos pasos es vulnerable a ataques, como es el caso. Existe un porcentaje de responsabilidad que recae sobre los propios operadores, ya que no son más exigentes ni escrupulosos a la hora de proporcionar SIM duplicados. Pero como usuarios, también hay una serie de recomendaciones a tener en cuenta para evitar ser víctimas de este fraude.

En primer lugar, si se detecta una pérdida de cobertura en el terminal, consulte con su operador para conocer el estado de la SIM y averiguar si se solicitó un duplicado. Por supuesto, no proporcione datos personales a través de SMS, llamadas telefónicas o correos electrónicos. Debemos desconfiar de cualquier persona o entidad que solicite datos personales o contraseñas y también tener cuidado con la información que pueda aparecer en los recibos o comprobantes. Es mejor destruirlos antes de deshacerse de ellos.

Alternativas

Aunque muchas aplicaciones y servicios todavía utilizan SMS como método de autenticación, existen algunas alternativas como Authy, Google Authenticator o Microsoft Authenticator. Estas aplicaciones se pueden instalar en el teléfono móvil y servir como alternativa a los mensajes de texto. Por supuesto, la plataforma con la que queremos operar debe ser compatible.

En un mundo cada vez más digital, es menos curioso que uno de los métodos más seguros sea una llave física. Las claves U2F (claves universales de segundo factor) son una evolución de los sistemas de autenticación doble convencionales. Este sistema está basado en hardware, por lo que a menos que la clave sea robada físicamente, no podrán acceder a los servicios con los que está configurada.

Funcionan conectándose a la computadora a través de un puerto USB. La primera vez que se utilice, el sistema creará un número aleatorio, a través del cual se generarán los diferentes hashes (una función criptográfica especial que se utiliza para generar identificadores únicos) que servirá para iniciar sesión en las plataformas con las que se vincula la clave. .

Gracias a este sistema, cada vez que desee iniciar sesión, simplemente conecte la llave a la computadora. Sin SMS, sin correos electrónicos, sin contraseñas, nuestra seguridad está a salvo en su bolsillo.

Fuente: www.elmundo.es