Nuestra vida hoy sin teléfono móvil hoy en día es mucho más esposada que hace unos años. No se refiere únicamente a las funciones que tenemos disponibles en nuestro dispositivo. Hablao de aspectos de seguridad. Seguro que alguna vez hemos hecho un pago por Internet y hemos recibido un código por SMS para verificar que realmente somos nosotros. Segurmante que intentas ser Cool y haces pagos con su móvil, conectas con su banco, haces transferencias …. ¿fácil? Una manera muy interesante de preservar la seguridad de los usuarios. Esto hace que la tarjeta SIM sea de vital importancia. De ahí el problema de los ataques Swapping, que explicaré en qué consisten. También se les conoce simplemente como SIM Swap.

Cuando Matthew Miller de ZDNet fue golpeado por un ataque de cambio de SIM, lo describió como una “historia de terror” que le hizo perder “décadas de datos”. Y no está siendo hiperbólico; más de una semana después, todavía está lidiando con los efectos secundarios, y no hay garantías de que algunos de los principales actores tecnológicos – incluyendo Twitter y Google – puedan recuperar el acceso a lo que sus atacantes estropearon.

El cambio de SIM es un gran problema, especialmente si usted también está involucrado activamente en la comunidad de cryptocurrency – una gran manera para un atacante de hacer un poco de dinero en efectivo y arruinar su vida. Afortunadamente, algunos pequeños ajustes en las prácticas de seguridad de su cuenta pueden ayudar a reducir la probabilidad de que este problema irritante arruine su día (o mes).

¿Qué es el SIM swapping?

SIM swapping involucra a un hacker duplicador a tu proveedor de telefonía móvil para que crea que estás activando tu tarjeta SIM en otro dispositivo. En otras palabras, están robando tu número de teléfono y asociándolo con su tarjeta SIM.

Si tiene éxito, este ataque desactivará su dispositivo, y su dispositivo ahora será el destino de todos los mensajes de texto, llamadas telefónicas, datos y cuentas vinculadas a su número de teléfono y su tarjeta SIM. Con esa información, el atacante podría tener acceso fácilmente a sus cuentas de aplicación, datos personales, y información financiera. Incluso podrían dejarte fuera de tus servicios por bueno.

Piensa en cuántas aplicaciones y cuentas utilizan tu número de teléfono para verificar tu identidad, y ni siquiera cuando te conectas con tu nombre de usuario y contraseña, que un atacante no sabrá, sino los mismos mecanismos de recuperación que usarías para restablecer esta información clave. Toda la seguridad de la cuenta en el mundo no servirá de mucho si un atacante puede fingir que es usted simplemente tomando su número de teléfono.

Cómo se ve una estafa de cambio de tarjeta SIM

Una persona no necesita acceso físico a su teléfono para realizar un cambio de tarjeta SIM: puede hacerlo todo de forma remota, independientemente de la marca y el modelo de su dispositivo o de su proveedor de servicios. Sólo necesitan tener suficiente información para convencer a un agente de atención al cliente de que ellos son usted. Puede que no veas una estafa de intercambio de tarjetas SIM en tu camino hasta que sea demasiado tarde.

La forma más fácil de saber si ha sido víctima de un cambio de SIM es cuando ve un comportamiento extraño en su teléfono, como la imposibilidad de enviar o recibir mensajes de texto y llamadas a pesar de no tener el servicio cerrado; recibir notificaciones de su proveedor de que su número de teléfono o tarjeta SIM han sido activados en otro lugar; o no poder iniciar sesión en ninguna de sus cuentas importantes. Considere este ejemplo reciente de Matthew Miller de ZDNet:

“A las 11:30 de la noche del lunes 10 de junio, mi hija mayor me sacudió el hombro para despertarme de un sueño profundo. Dijo que parecía que mi cuenta de Twitter había sido pirateada. Resulta que las cosas eran mucho peores que eso.

Después de levantarme de la cama, tomé mi Apple iPhone XS y vi un mensaje de texto que decía: “T-Mobile alert: The SIM card for xxx-xxx-xxxxxx has been changed. Si este cambio no está autorizado, llame al 611”. Bueno, viendo cómo T-Mobile me quitó mi servicio celular, no pude llamar al 611 para pedir ayuda, así que ese es un mensaje sin valor.”

Prevención de un ataque de intercambio de SIM

Es mucho más fácil establecer defensas contra un ataque de intercambio de SIM en este momento que lidiar con las consecuencias de que una es una molestia menor, la otra consumirá tu semana (o más).

Tenga cuidado con las estafas de phishing

El primer paso en un ataque de intercambio de SIM es normalmente (pero no siempre) phishing. Correos electrónicos poco precisos con enlaces maliciosos, pantallas de inicio de sesión falsas, barras de direcciones falsas: hay muchas formas de estafas de phishing que pueden llevarse a cabo, pero son fáciles de detectar si sabe a qué atenerse. No haga clic en vínculos, descargue programas ni inicie sesión en sitios web que no reconoce. Si un atacante obtiene suficientes datos clave sobre usted de estos ataques, tendrá lo que necesita para probar un cambio de SIM.

¡¡¡ Reducir el exceso de datos personales en línea !!!

Ya sea que se trate de phishing o en su lugar, la otra parte inicial de un intercambio de tarjetas SIM implica ingeniería social: básicamente, recopilar tantos datos sobre usted como sea posible para que el hacker pueda pasar por usted de forma fiable por teléfono o por correo electrónico.

Para prevenir esto, mantenga su número de teléfono, fecha de nacimiento, dirección postal y toda otra información comprometedora fuera de la mayor cantidad posible de sus cuentas, y no comparta esta información públicamente si puede evitarlo. Algunos de estos datos son necesarios para ciertos servicios, pero no es necesario que ninguno de ellos sea buscable en las redes sociales. Debe cancelar y eliminar cualquier cuenta que ya no utilice como precaución adicional.

Proteja sus cuentas

Muchas cuentas digitales tienen configuraciones que pueden ayudarle a recuperar sus cuentas en caso de que sean robadas, pero deben configurarse correctamente antes de que la cuenta sea robada para que le sirvan de ayuda. Estos pueden incluir

• Creación de un número PIN que es necesario para los inicios de sesión y los cambios de contraseña. Esto es especialmente importante para configurar con su proveedor de telefonía móvil, ya que es una gran defensa contra el secuestro de SIM.
• Un método de seguridad adecuado de dos factores que depende de un dispositivo físico, como Google Authenticator o Authy, en lugar de la verificación basada en SMS para los inicios de sesión. También puede obtener un token de hardware para proteger sus cuentas si desea obtener algo realmente elegante.
• Strong responde a preguntas de recuperación de seguridad que no están relacionadas con su información personal.
• Desvincular el número de su teléfono inteligente de sus cuentas, siempre que sea posible. (Siempre puedes utilizar un número gratuito de Google Voice si necesitas uno para tus cuentas confidenciales).
• Usando contraseñas largas, aleatorias y únicas para cada cuenta.
• Utilice un gestor de contraseñas cifrado.
• No utilice sus servicios favoritos (Google, Facebook, etc.) para acceder a otros servicios; todo lo que necesita un atacante es entrar en uno para tener acceso a mucho más de su vida digital.

También debe tomar nota de la información importante relacionada con la cuenta que podría utilizarse para identificarlo como el titular legítimo de la cuenta, como por ejemplo:

• El mes y el año en que creó la cuenta
• Nombres de usuario anteriores en la cuenta
• Direcciones físicas asociadas a la cuenta
• Números de tarjetas de crédito que se han utilizado con las cuentas o estados de cuenta bancarios que pueden confirmar que usted fue el que hizo las compras.
• Contenido creado por las cuentas, como nombres de personajes, si la cuenta es para un videojuego en línea.

Del mismo modo, mantener una lista de todas sus cuentas críticas hará que reaccionar a un intercambio de SIM o robo de identidad similar sea más fácil, ya que podrá revisar de forma segura cada cuenta y cambiar contraseñas, direcciones de correo electrónico, etcétera. Tenga toda esta información almacenada de forma segura -quizás incluso como una impresión física de un archivo de texto- en lugar de guardarla en un servicio asociado con una entidad digital (en la que se podría entrar).

Descentralice su presencia en línea

Considere la posibilidad de utilizar aplicaciones y servicios cifrados y de código abierto en lugar de sólo las aplicaciones de Google, Apple y Microsoft, para mantener los datos importantes dispersos, con los datos más confidenciales almacenados en lugares con la máxima seguridad. Esto se aplica al correo electrónico, aplicaciones de mensajería, aplicaciones bancarias, etc. Google Drive e iCloud son geniales, pero si todo se encauza en un solo disco – incluyendo información financiera personal y otros datos -, estás jodido.

Además, debe mantener ciertos datos fuera de la nube por completo. No arroje sus declaraciones de impuestos en su Google Drive, porque si alguien tuviera acceso, de repente tendría una tonelada de información crítica sobre usted (y mucha información que podría utilizar para fingir que es usted). Y por favor, pase lo que pase, no guarde una lista de sus contraseñas comunes, claves de inicio de sesión de copia de seguridad, el PDF de “recuperación de cuenta” de su administrador de contraseñas en una simple cuenta de almacenamiento en nube.

Cómo responder a un ataque de SIM swap

Si sospecha que ha sido víctima de un cambio de tarjeta SIM o de cualquier forma de robo de identidad, siga estos pasos rápidamente:

• Presente informes de robo de identidad en la oficina de policía local y en la FTC.
• Alerte a sus bancos/instituciones financieras sobre el posible informe de identidad y solicite que se retengan sus cuentas y tarjetas bancarias, luego comuníquese con las tres agencias de crédito (Experian, Equifax y TransUnion) para solicitar una congelación de su crédito y marcar el posible fraude crediticio. Si sospecha que su identidad de impuestos o sus números de seguro social están comprometidos, comuníquese con el IRS. Es posible que incluso desee cambiar los números de su cuenta bancaria o de su tarjeta de crédito por si acaso.
• Reporte el robo de identidad a su proveedor de servicio celular. Tenga en cuenta, sin embargo, que a menos que pueda probar suficientemente que esto ha sucedido y que usted es el titular legítimo de la cuenta, es posible que no puedan hacer mucho (ya que el hacker es su número de teléfono, y todo eso).
• Si tiene una lista analógica/fuera de línea de sus cuentas y su información, cambie la dirección de correo electrónico y la contraseña de cada cuenta (asegúrese de que la nueva dirección de correo electrónico no esté vinculada a su número de teléfono; una nueva funciona mejor), y actualice cualquier otra medida de seguridad de la cuenta. Los lugares más importantes para empezar son su(s) dirección(es) de correo electrónico e instituciones financieras, incluyendo PayPal, Venmo, etc., y cualquier cuenta vinculada a su número de teléfono o cuentas de Google/Apple.
• Importante: Si se le da la opción, NO tenga códigos de confirmación ni restablezca los enlaces enviados a su número de teléfono. Estos serán enviados al hacker, no a ti.
• Si no puede iniciar sesión en una cuenta o restablecer su contraseña, póngase en contacto con el servicio de atención al cliente de esa cuenta lo antes posible y explique la situación. Se le pedirá que pruebe su identidad, por lo que tener tanta información sobre la cuenta como sea posible le ayudará a recuperar el control.

Espero que no te pasa esto. Por que si te toca … como he escrito ¡¡¡ estas jodido!!!