Como hace unos días publicaba Escudo Digital en un extenso reportaje, el SIM swapping se está consolidando como una de las formas de ciberdelincuencia predilectas entre los grupos criminales para robar credenciales, datos y el dinero de cuentas bancarias. En ese reportaje conocíamos la experiencia de una joven a la que los atacantes le robaron todos los ahorros de su cuenta bancaria (32.750 euros) con solo conseguir un duplicado de su tarjeta SIM.
Hoy confirmamos esta afirmación con una amplia operación que la Policía Nacional ha realizado y por la que ha desarticulado un grupo criminal especializado en la comisión de estafas mediante esta técnica, que en este caso asciende a más de 450.000 euros solo en siete de sus víctimas.
Este grupo de ciberdelincuentes, según comunica el cuerpo de seguridad, actuaba principalmente desde Valencia y Madrid, donde se han detenido a 19 personas de origen venezolano (dos de ellas en Elche), aunque operaba a nivel nacional y tenía una proyección cada vez más internacional de su actividad dirigida a Inglaterra y Estados Unidos.
Además, han sido necesarios 16 registros domiciliarios -11 de ellos en la Comunidad de Madrid y 5 en Valencia- y se han bloqueado 75 cuentas bancarias a nombre de los investigados en un total de 9 entidades bancarias. Se da la circunstancia (fundamental) de que uno de los investigados trabajaba en una tienda de reparación de telefonía, elemento clave para la obtención de la información sensible de los teléfonos.
Tal y como explica la Policía Nacional, en este caso los investigados accedían a las cuentas bancarias de sus víctimas, tras vulnerar sus claves de seguridad, cuando éstas enviaban sus teléfonos móviles a reparar.
A continuación vaciaban sus cuentas corrientes y contrataban créditos bancarios instantáneos, convirtiendo el dinero obtenido en criptomoneda para blanquearlo.
El miembro infiltrado en la tienda de reparación de móviles
La investigación se inició en junio de 2019 cuando los agentes detectaron diversos casos de estafa cometidos mediante la técnica de SIM swapping, y tuvieron conocimiento de la existencia de este grupo organizado de origen venezolano.
Las estafas consistían en la obtención de información bancaria de las víctimas para, posteriormente, operar en comercios y realizar transferencias y extracciones de dinero en cajeros de todo el territorio nacional, principalmente en Madrid, Valencia y Barcelona.
El modus operandi se basaba en la intrusión no autorizada en los datos sensibles guardados en los teléfonos móviles de personas que llevaban sus dispositivos a talleres o puntos de reparación. Éstas facilitaban, de buena fe, sus claves de desbloqueo del terminal con el objetivo de que pudieran acceder a él y repararlo.
La comisión de las estafas era posible porque uno de los investigados trabajaba en una cadena de reparación de telefonía, por lo que tenía acceso a todos los datos privados de los terminales que allí se depositaban, incluidas las claves de banca online con las que después operaban.
Eran los propios clientes quienes proporcionaban los permisos necesarios, confiando en que era necesario para la reparación de sus teléfonos.
De esta forma, los investigados accedían a la totalidad de contraseñas de sus aplicaciones, así como a la galería de fotos, los blocs de notas o el correo electrónico, lugares que a menudo son utilizados por los usuarios para almacenar imágenes de su documentación, códigos PIN o anotaciones de contraseñas.
Una vez que obtenían los datos necesarios (claves, documentos, contraseñas), falsificaban los documentos de identidad de las víctimas y duplicaban las tarjetas SIM de sus teléfonos. En apenas unas horas, vaciaban sus cuentas corrientes y contrataban créditos rápidos en línea a su nombre.
El dinero obtenido lo desviaban -mediante transacciones- a bancos internacionales, lo gastaban en compras, o bien realizaban extracciones directas en cajeros. Con las ganancias compraban grandes cantidades de bitcoins o adquirían motocicletas -que después vendían a precios inferiores al valor real de mercado- blanqueando así los beneficios de forma rápida y segura.
No es el primer caso sonado en España
Pero esta no es la primera desarticulación sonada en España. El pasado mes de julio, la Policía Nacional ya anunció la detención, en una operación desarrollada en diferentes localidades españolas, de 94 personas por un fraude similar cometido mediante este método.
A los arrestados se les acusó de cometer presuntos delitos de estafa continuada, blanqueo de capitales, pertenencia a grupo criminal y, en algunos casos, falsificación y usurpación de estado civil. La cantidad de dinero obtenida entonces ascendía a más de medio millón de euros, existiendo numerosos afectados, y a uno de ellos le retiraron de su cuenta 240.000 euros.
Perjuicios económicos, pero no solo económicos
El fraude a través del SIM swapping es una de las modalidades de ciberestafa más actuales. Los delincuentes captan toda la información personal a través de diferentes técnicas –phising, malware o investigación en redes sociales- y consiguen realizar un duplicado de la tarjeta SIM para colocarla en otro dispositivo.
Una vez que obtienen acceso y control sobre el número de teléfono móvil, los estafadores pueden acceder a la información sensible, como contraseñas o banca online, y ordenar transferencias a otras cuentas bancarias de la organización o contratar préstamos de forma inmediata.
Pero esta técnica no solo es peligrosa a nivel económico. Y bien lo sabe, como ya explicábamos en otro artículo dedicado a ella en Escudo Digital, el cofundador y CEO de Twitter, Jack Dorsey, quien sufrió un ataque que provocó que de repente en su cuenta de Twitter aparecieran mensajes ofensivos que posteriormente fueron eliminados.
El problema se debió a que un atacante consiguió suplantarle la identidad mediante un duplicado de la SIM de su teléfono, lo que a su vez permitió que este atacante usar la función de publicar en Twitter mediante mensajes SMS, que originalmente ofrecía esta red social.
Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.