SIM swapping: Cómo detectar y protegerte de este ciberataque

Por Natalia En Clave Productiva

El 11 septiembre, 2019

sim-swapping-main

Cada día salen en medios noticias sobre ciberataques. El que está últimamente «de moda», aunque no es nuevo, se conoce como «SIM swap» o «SIM swapping»  y es tremendamente inquietante porque el atacante puede vaciar tu cuenta del banco, ¡incluso pedir un crédito a tu nombre! ¿Has oído hablar? Yo me enteré en Twitter, que es donde me entero de todo. Mira:

¿Qué significa esto del SIM swapping?

SIM swapping se traduciría algo así como «intercambio de SIM». Básicamente, significa que el atacante consigue un duplicado de la tarjeta SIM de tu teléfono para suplantar tu identidad. Así puede realizar fácilmente operaciones en tu cuenta bancaria, porque recibe en su dispositivo los SMS que envía el banco para verificar la operación. ¿Escalofriante, verdad?

Y no solamente lo utilizan para operaciones bancarias, que ya es bastante. El atacante puede iniciar sesión en todas las cuentas que estén vinculadas a tu número de teléfono, en todos los servicios que utilicen el envío de SMS para iniciar sesión o recuperar la contraseña. Así puede conseguir mucha información sobre ti, tus datos personales e información financiera.

Esta estafa es una de las posibles consecuencias que podría tener el robo de tu móvil, pero el atacante no necesita tener físicamente el móvil para duplicar tu SIM: puede hacerlo en remoto. Solo tienen que conseguir la suficiente información para convencer al empleado de tu compañía de que eres tú quién está solicitando el duplicado.

A continuación veremos algunos consejos para tratar de evitar este fraude, así como la forma de detectarlo y las pautas para responder si te ves en un caso así.

Ningún día sin su ciberataque :-/

Por lo visto hay un aumento brutal de casos esta temporada. Da mucho miedo la escalada que está habiendo de casos de ciberdelitos, ¡hay que andar con mil ojos! Sin ir más lejos, la semana pasada intentaron estafarme online 3 veces. Me pone los pelos de punta pensar que quizá eran intentos de SIM swapping

En el primer caso me enviaban emails encargándome trabajos que me iban a pagar. Para pagarme querían mi usuario de Skype y mi cuenta de PayPal. El hecho de haber especificado yo en la negociación que el pago sería por transferencia bancaria y la cantidad de errores ortográficos y de sintaxis de los correos me puso sobre aviso. ¡Mucho cuidado, que cada vez hilan más fino!

El siguiente intento fue este texto que recibí a través del formulario de mi web:

pantallazo de texto de un email engañoso para fraude SIM swapp

Se da la circunstancia de que yo no tengo «employees». De lo contrario quizá hubiese caído en la tentación de hacer clic…

El tercer intento  de estafa fue a través de SMS: me enviaban un mensaje de texto diciéndome: «haz clic en este enlace para confirmar tu dirección o tu paquete será devuelto«.

El enlace contenía el nombre de Amazon casi completo. Algo así como http://amaz3nxyz.com. ¡Pero yo no estaba esperando ningún paquete! Aún así, estuve a punto de hacer clic con las prisas, menos mal que me di cuenta. Y es que, tal y como explico en este post con consejos de ciberseguridad, una de las formas más habituales de ser víctima de un ciberdelito es haciendo clic en enlaces de poca confianza.

No quiero cerrar este apartado sin hablar del hilo de Rodrigo Cortés, que explicaba con muchísima gracia en Twitter cómo intentaban estafarle. ¡Te lo recomiendo! Además de aprender sobre otro tipo de estafa online y evitar que te pueda suceder a ti, te vas a reír:


Volviendo a la estafa de la SIM del móvil: hay algunas cosas que puedes hacer para mejorar tu seguridad. Y recuerda que siempre es mejor prevenir que lamentar.

A continuación comparto contigo las medidas que he tomado yo tras documentarme a fondo sobre el tema. Espero que te resulten útiles 🙂

Cómo prevenir el SIM swapping

Para que un atacante consiga su propósito, lo normal es que se sumen varios errores de seguridad: tuyos, de tu compañía telefónica, etc. Hay una parte de la solución que depende de ti directamente, y otra que no. El problema se eliminará cuando los diferentes proveedores de servicios como los bancos o las compañías de teléfono mejoren sus medidas de seguridad. Mientras no llega ese día, esta es la parte que puedes mejorar tú:

El ataque podría empezar con un intento de phishing, ¡evítalo!

¿Recuerdas en qué consiste el pishing? Es la práctica encaminada a robar datos personales, información financiera (tu número de cuenta bancaria o el de tu tarjeta de crédito) o bien los datos para acceder a tu correo o perfiles de Redes Sociales.

Lee los consejos para evitar el pishing en el post sobre Ciberseguridad, ¡y síguelos! Si te conviertes en víctima del phising, tu atacante tendrá la información que necesita para duplicar tu tarjeta.

Revisa tu información online:

Existe mucha información online sobre ti, incluyendo datos personales. Todos nosotros la facilitamos a diferentes aplicaciones y servicios cuando abrimos cuentas en ellos. Lo peor es que muchas veces dejamos de utilizar los servicios pero olvidamos eliminar las cuentas.

Los datos más sensibles son el número de móvil, la fecha de nacimiento y tu dirección física.

  • Elimina esta información de todos los perfiles donde no sea imprescindible
  • Configura la privacidad de estos datos. Twitter, por ejemplo, permite que la fecha de nacimiento sea solo visible para perfiles que te siguen y a los que sigues.
  • Revisa todas tus cuentas y borra los perfiles de las aplicaciones que ya no utilices.
  • Desinstala de tu móvil las aplicaciones que no usas.

Y revisa también la actividad y los dispositivos:

Echa un vistazo a los dispositivos vinculados a tu cuenta de Google y su actividad, y cierra sesión en los que no utilices. ¿Los reconoces todos? Si no es así, elimina la actividad que no reconozcas y cambia inmediatamente tu contraseña de acceso a Google.

Aprovecha para revisar las aplicaciones que tienen acceso a tu cuenta, e, igualmente, elimina las que no utilices. Algunos servicios necesitan acceder a tu cuenta para poder ejecutarse. Por ejemplo, si utilizas un lector de PDFs, necesitará poder acceder a tu Google Drive.

En otros casos, conectamos las aplicaciones entre sí cuando las utilizamos para iniciar sesión en otros servicios: ¡no lo hagas! Es una práctica no recomendable porque representa un problema de seguridad.

Me refiero a cuando vas a crear cuenta en una aplicación y te da la opción de iniciar sesión con Google o Facebook: Si un atacante consigue acceder a una de estas aplicaciones, podrá acceder a todas ellas. Crea siempre un usuario y una contraseña diferentes para cada servicio que utilices, asegurándote de que sean largas y complejas.

Para gestionar todas tus contraseñas, puedes utilizar un administrador o hacer como yo: soporte papel. Así es imposible que esta información se vea comprometida en caso de ciberataque.

Controla lo que subes a la nube

Revisa los archivos que tienes en Google Drive o en otros servicios en la nube: tu DNI escaneado, tus declaraciones de Hacienda, tu tarjeta sanitaria… ¡elimínalos! Imagina que alguien consigue acceder a tu cuenta, ¡tendrá muy fácil suplantar tu personalidad y solicitar servicios en tu nombre!

Utiliza las opciones de seguridad de inicio de sesión:

Si utilizas Google, lo tienes muy fácil para configurar opciones más seguras. Empieza por visitar la página de tu cuenta, donde encontrarás tu información personal, datos y configuraciones de seguridad.

Haz click en «Seguridad» para ver las opciones:

Es posible que Google indique que «se ha detectado un problema de seguridad«. Haz clic en «Proteger la cuenta«. A continuación Google te hará recomendaciones de seguridad, como por ejemplo que cierres sesión en los dispositivos que no utilizas. También verás la posibilidad de configurar la verificación en dos pasos con sistemas que no implican el uso de SMS, como pueden ser los códigos de seguridad, o bien las apps como Authy o Google Authenticator.

sim-swapping-alternativas.google

Yo he configurado Authy, que me parece bastante sencilla y fiable. Además tiene varias ventajas sobre Google Authenticator. La más importante para mí es que permite bloquear toda la actividad de la app con un PIN.

Estas aplicaciones envían un código numérico para verificar cualquier inicio de sesión de las cuentas que hayas añadido. Authy está disponible en un montón de servicios, entre ellos tus cuentas de Google, de Facebook y LinkedIn, así como otros servicios web.

Las apps se instalan en la memoria del dispositivo, no en la SIM. Y esa es la ventaja con respecto al SMS: el código lo recibes tú, que tienes el teléfono. El atacante no podrá iniciar sesión en ninguna de las cuentas donde configures Authy, porque el código de verificación lo recibes en tu dispositivo, no en la SIM.

En el caso de que te roben el móvil, si no tienen el PIN de Authy no podrán acceder a las opciones de la app.

Como configurar Authy:

Ve a Google Play y descárgate la app en tu móvil Android. También está disponible para iPhone, en la APP Store y la extensión para PC en Chrome Web Store.

La configuración inicial es muy sencilla: Lo primero que tienes que introducir es tu número de móvil, precedido del código del país. Después selecciona si quieres recibir el código de verificación por SMS o llamada de voz. Te recomiendo lo primero. Ese código tendrás que introducirlo en el espacio de Authy para la contraseña, en «Respaldos».

Ahora accede a la configuración de tu cuenta de Google desde el PC: Inicia sesión en Gmail, haz clic sobre tu foto de perfil y en «Cuenta de Google«. Selecciona «Seguridad» en el menú que verás  a la izquierda (si utilizas el PC).

Selecciona Verificación en dos pasos > Empezar. Se te pedirá que vuelvas a escribir tu contraseña. Después tienes que hacer clic en «Elige otra opción» y en Authenticator. A continuación verás un código escaneable en la pantalla. También hay un enlace con una clave para introducir de forma manual por si no te funciona la cámara y no puedes escanear.

En tu móvil, abre la app Authy y haz clic en «Agregar cuenta» > «Escanear código de QR«. Escanea el código que tienes en la pantalla del PC. La app reconocerá tu cuenta y te proporcionará un código que tendrás que introducir en el espacio que verás en tu PC. Así queda configurado el acceso de doble verificación a través de Authy. Cada vez que quieras iniciar sesión, recibirás una clave diferente en la app. Las contraseñas caducan cada pocos minutos, lo que es una medida extra de seguridad.

¿En qué servicios está disponible Authy?

Una de las ventajas que tiene es que puedes utilizar este sistema para todas tus cuentas de Google y para otros servicios y aplicaciones que la soporten.

El proceso siempre es el mismo: Inicias sesión en la cuenta que quieres añadir y abres la app de Authy. Se trata de escanear el código bidi con el móvil e introducir el código numérico que genera Authy en la app que estás añadiendo.

Authy soporta un montón de servicios. Los que yo he configurado son PayPal, Facebook, LinkedIn y Amazon, pero funciona en muchas otras como Evernote, Dropbox, Snapchat o GitHub. ¡Ah, y también en WordPress! Para ello hay que añadir y activar el plugin Two Factors Authentication. Después la opción «Identificación de dos factores» aparecerá en el menú de la izquierda.

Aquí tienes la ruta a seguir para configurar la doble verificación con Authy en los servicios mencionados:

Facebook: Configuración > Seguridad e inicio de sesión > Usar la autenticación en dos pasos

Paypal: Configuración > Centro de Seguridad > Verificación en dos pasos

LinkedIn: Clic sobre la foto de perfil > Ajustes y privacidad > Pestaña Cuenta > Verificación en dos pasos

Amazon: Cuenta y listas > Inicio de sesión y seguridad > Ajustes de Seguridad avanzada > Verificación en dos pasos

Consejos extra de seguridad:

Para acceder a los Ajustes de Authy, haz clic en el menú tres puntos que verás en la esquina superior derecha. En «Protección de la app» podrás configurar un PIN de seguridad o una huella digital. Así, aunque pierdas el móvil, nadie podrá utilizar tu sistema de autenticación en dos pasos. Antes de emitir cada contraseña o de permitirte añadir una nueva cuenta, Authy te pedirá el código PIN. Y también tendrás que introducirlo cada vez que abras la aplicación.

Configura la doble autenticación en todos los servicios que puedas. Recuerda, cuanta menos información esté disponible para el atacante, más difícil lo tendrá a la hora de conseguir sus objetivos.

Por último, instala Authy también en otro dispositivo como el PC o una tablet. Así, si pierdes o te roban el móvil, puedes revocar rápidamente el acceso de Authy al dispositivo robado, evitando el acceso a todas tus cuentas.

Pautas a seguir si eres víctima de SIM swapping:

En el hilo de Otto Mas se explica todo de forma muy clara: el primer indicio es que te quedas sin servicio móvil de repente. ¡Ojalá que no te pase! Pero si te ves en la situación, lo primero es bloquear la SIM.

A continuación hay que alertar a tu(s) banco(s) y bloquear tus cuentas. Habla también con tu compañía telefónica y pide detalles sobre la solicitud del duplicado, para aportar esos datos a la denuncia correspondiente ante la Policía que harás a continuación. Es importante llevar a cabo estos pasos lo más rápido posible.

Después coge tu lista de contraseñas en soporte papel. Crea una dirección de email nueva y cambia el usuario y contraseña de todas y cada una de tus cuentas, empezando por las más sensibles: PayPal, cuentas de Google… Busca una forma alternativa de validar los cambios que no incluya tu número de móvil. En caso de no poder iniciar sesión en alguno de estos servicios, contacta con el departamento de atención al cliente lo antes posible para explicarles lo que pasa y evitar que el atacante siga controlando la situación.

Si utilizas Google, visita la página de ayuda para resolver la situación de forma más eficaz. Encontrarás las pautas a seguir para proteger una cuenta si detectas actividad sospechosa o para localizar y bloquear tu móvil en caso de robo.

¿Habías oído hablar de SIM swapping? ¿Qué te parecen estas medidas de seguridad? ¿Tienes alguna que aportar? ¡Déjamela en los comentarios!

Natalia En Clave Productiva

Natalia En Clave Productiva

Profesional del Marketing digital y marketing de contenidos en constante formación. Aquí comparto todo lo que voy aprendiendo o me parece interesante sobre Marketing Digital, Social Media y Mundo Online.

Quizá también te interese:

¿Qué es vamping? Todo sobre el insomnio del siglo XXI

¿Qué es vamping? Todo sobre el insomnio del siglo XXI

Acabo de enterarme de un caso de vamping, un problema que está sufriendo una adolescente de 15 años de mi entorno. Me he documentado y me parece importante hablar de este problema, una auténtica plaga muy silenciosa pero con mucho, mucho peligro. ¡Ojo! Que no solo...

3 ventajas potentes de Genially que harán tu vida más fácil

3 ventajas potentes de Genially que harán tu vida más fácil

¿Qué es Genially? ¡No me digas que aún no has probado esta herramienta! Si necesitas crear contenido visual como presentaciones, infografías, guías o microsites, Genially tiene mucho que ofrecerte. Cada vez más personas utilizan esta herramienta, ¡no me extraña! En...

Cómo crear gráficos interactivos alucinantes

Cómo crear gráficos interactivos alucinantes

El contenido con interactividad engancha mucho más, y los gráficos no son una excepción. Descubre las ventajas de utilizar gráficos interactivos y cómo crearlos paso a paso con Genially.   ¿Qué son los gráficos interactivos? Un gráfico interactivo es un gráfico...

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Share This
Abrir chat
1
Hola :-) Estoy por aquí... ¿Cómo puedo ayudarte?