El SIM swapping permite a los criminales secuestrar números de teléfono. La evolución tecnológica que representan las eSIM no las deja fuera del alcance de los ciberdelincuentes, que se adaptaron para clonarlas también.
El SIM swapping —intercambio o clonado de tarjeta SIM— permite a los criminales secuestrar un número de teléfono al duplicar la tarjeta SIM.
Utilizando técnicas de ingeniería social o la colaboración de empleados de la compañía de telefonía móvil, se clonan tarjetas y se apoderan de los números de teléfono de las personas afectadas. A partir de este fraude, los delincuentes cibernéticos pueden obtener fácilmente códigos de acceso y autenticación de dos factores para diversos servicios, como banca y mensajería, lo que facilita la realización de estafas.
Las eSIM si son clonables
Con la evolución de las eSIM, que es la versión digital de las tarjetas SIM que no necesitan una tarjeta física, los atacantes han tenido que cambiar sus técnicas de ataque, debido a las diferencias que presenta esta tecnología en comparación con la tarjeta física.
Un informe de la empresa rusa de ciberseguridad F.A.C.C.T. advierte que el SIM swapping ha ido en aumento en 2023, aprovechando la transición a la tecnología eSIM. Durante ese año, se detectaron más de cien intentos de acceder a las cuentas personales de los clientes en servicios en línea en una sola institución financiera. Estas instituciones son las más afectadas después del clonado de eSIM.
¿Cómo se clonan las eSIM?
A diferencia de las tarjetas SIM físicas convencionales, la eSIM es un chip integrado en el dispositivo. Este sistema permite al usuario activar el servicio digitalmente, ya sea iniciando sesión en una aplicación o escaneando un código QR, simplificando así el proceso de manera considerable.
Además de esta ventaja, la eSIM ofrece otras contribuciones significativas. Al requerir menos espacio interno en comparación con el cajón del chip tradicional en los teléfonos celulares, los fabricantes tienen la libertad de incorporar otros componentes, como baterías más grandes, lo que resulta en dispositivos más delgados y livianos que satisfacen las expectativas de diseño elegante y compacto de los usuarios.
Sin embargo, a pesar de estas ventajas, existe un riesgo inherente. Mediante tácticas de ingeniería social y otros métodos de engaño como el phishing, los ciberdelincuentes pueden violar las cuentas móviles de los usuarios, utilizando credenciales robadas, forzadas o filtradas. Este ataque inicial suele comenzar de la misma manera: mediante ingeniería social, phishing u otros métodos de engaño, los atacantes violan la cuenta del usuario para obtener el código QR que les permite activar la eSIM en su propio dispositivo. Esto resulta en el secuestro efectivo del número de la víctima.
A pesar de que los datos de identidad residen en el teléfono del propietario, los ciberdelincuentes continúan explotando vulnerabilidades en los sistemas y procesos relacionados con la autenticación y la protección de datos. Este panorama resalta la importancia continua de fortalecer las medidas de seguridad en el ecosistema digital.
¿Cómo protegerse?
Convertirse en víctima del intercambio de eSIM puede tener repercusiones graves para la seguridad y la privacidad de una persona. Entre las amenazas que enfrenta se incluyen:
- Robo de identidad digital: Los ciberdelincuentes pueden acceder a las cuentas digitales de la víctima, incluyendo correos electrónicos, redes sociales y servicios bancarios, comprometiendo su identidad digital y exponiendo información personal y financiera.
- Fraude financiero: Al tener acceso a los servicios bancarios en línea de la víctima, los delincuentes pueden realizar transacciones ilegales, transfiriendo fondos y poniendo en riesgo su estabilidad financiera.
- Extorsión y chantaje: Los ciberdelincuentes pueden aprovechar el acceso a los mensajes y contactos de la víctima para realizar extorsiones o chantajes, amenazando con revelar información comprometedora o confidencial.
- Daño reputacional: En casos donde los ciberdelincuentes utilicen el acceso a las cuentas de la víctima para difundir información falsa o perjudicial, puede resultar en daños a su reputación personal y profesional.
Para protegerse y evitar el robo de su número de teléfono, existen medidas preventivas que se pueden tomar:
- Evitar la verificación en dos pasos a través de SMS: La verificación por SMS es una de las formas menos seguras de proteger su eSIM, cuenta de WhatsApp u otras redes sociales. Es preferible utilizar aplicaciones de token de acceso para proteger las cuentas.
- Habilitar la verificación en dos pasos en WhatsApp: Esto se puede realizar abriendo WhatsApp, tocando «Menú» (los tres puntos), luego «Configuración», «Cuenta», y finalmente «Verificación en dos pasos». Establecer un código PIN de seis dígitos proporciona una capa adicional de seguridad. Además, se puede configurar una dirección de correo electrónico para recuperar el PIN en caso de olvido.
- Mantenerse alerta ante el phishing: Dado que el intercambio de eSIM está vinculado principalmente a estafas de phishing, como correos electrónicos y mensajes sospechosos, es importante tener precaución con los contactos desconocidos y evitar proporcionar información personal o sensible a través de estos medios.
Fabian Vidal