No había oído esto del Sim Swapping, y aunque su nombre es ilustrativo, hace falta entenderlo y comprender el riesgo que entraña nuestro traspaso cada vez mayor de prestaciones de seguridad a nuestro movil. Claro que lo intentamos proteger con claves, lectores de huellas y demás, pero el corazón de todo, nuestra SIM, puede traspasarse de manos sin ni siquiera entrar en contacto físico con nuestro teléfono … ¿cómo? recorriendo al eslabón más débil de la cadena: el empleado de las compañías de telefonía (y algo más, claro está).
El Sim Swapping no es un problema tremendamente frecuente, pero no por ello es menos alarmante. La técnica consiste en engañar a las compañías de telefonía, y hacerles creer que el dueño ha perdido/dañado su móvil/sim, precisando crear una sim alternativa. Claro que en este caso, el reclamante es un chorizo tecnológico, el cual espera hacerse con una sim con nuestro número de teléfono.
En su origen, el timador estudia a sus victimas y recaba información sobre ellas, pudiendo por ejemplo recurrir a técnicas de phishing o alternativas para obtener datos confidenciales (teléfono, fecha de nacimiento, dirección, etc.). Si logran recabar suficientes datos de ti, y dar con un operador de telefonía que se crea su historia, el timador saldrá con una tarjeta sim con tu número de teléfono (y tu sim probablemente quede desactivada en el evento).
Como sabemos, la verificación en dos pasos con el móvil como garante mediante sms es habitual como medida de seguridad, incluso de bancos. Con tu sim ahora clonada, si el timador tiene suficiente información tuya, puede validar operaciones en las cuales un sms a tu móvil es parte del garante de la seguridad (por ejemplo, movimientos bancarios).
El timador de esta historia, un tal Joel Ortiz de 21 años de edad, tenía por objetivo gente que trabaja en la industria de las criptomonedas. Sin que el artículo detalle exactamente cómo logró obtener información clave para su operación, el timador se hizo con más de 7,5M$ en criptomonedas de cuanto menos 40 personas que acudieron a Consensus, una evento de Coindesk, usando como base el Sim Swapping. El artículo cita que en uno de los casos el timador logró hacerse con 1M$ de las cuentas en exchanges de uno de los timados.
Los eventos tuvieron lugar en verano del 2018, y la condena a 10 años de cárcel ha salido ahora.
Ver:
California Jails Student for 10 Years for $7.5 Million SIM-Swap Bitcoin Hack y
Qué es el fraude "SIM swapping" y cuáles son las reglas de oro para evitarlo.