Sim Swapping: Cómo evitar que te roben todo tu dinero. Un caso real

Guardar

sim-swapping-22-octubre
sim-swapping-22-octubre

Una chica llegó hace solo unos días a nuestro Gabinete Pericial Informático. Estaba hecha un manojo de nervios, absolutamente destrozada. Todo el dinero que había ahorrado con su novio en los últimos cinco años, 32.750 euros, había sido robado de su cuenta bancaria.

Iban a dar al día siguiente la señal para el piso de sus sueños. Su rostro era, como vulgarmente se dice, un poema; la viva imagen de la desesperación. Lloraba e imploraba ayuda para recuperar su dinero.

Tras ofrecerle dos tilas pude tranquilizarla, antes de abordar el problema y realizar una composición de los hechos. Su testimonio era este: llevaba recibiendo avisos en su terminal móvil de que se descargaba la batería más rápidamente; oía eco en las llamadas que realizaba. Y el día antes de presentarse en nuestra sede observó que la cobertura de su móvil desaparecía. Al principio de modo intermitente, hasta que ya no pudo operar por internet a través de su smartphone.

Le aconsejamos en primer lugar que se dirigiese a una tienda física del proveedor telefónico, para comunicarles el suceso. Había que descartar causas técnicas. Le confirmaron que no había problema técnico de ningún tipo, que probablemente se podía tratar de un problema de Sim Swapping.

Sigue leyendo si quieres conocer si estás siendo víctima de Sim Swapping: "todos los síntomas"

"Nos pueden robar los contactos, fotografías, documentos, claves, productos licenciados, claves de licencias compradas, números de tarjeta de crédito, correos electrónicos, WhatsApp…"

Cómo saber si te han hecho sim Swapping

Yo había oído algo sobre esta peligrosa estafa de moda consistente en duplicar el número del teléfono del móvil para realizar un robo exprés bancario, pero no había realizado una pericia sobre este tema y me documenté en nuestra Plataforma del Conocimiento de los Investigadores Digitales.

El Sim Swapping es un fraude telefónico que consiste en la duplicación de la tarjeta SIM del teléfono móvil de la víctima. El ciberdelincuente consigue confundir a las empresas de telefonía, solicitando la reposición de la tarjeta SIM y luego piden que activen una nueva tarjeta sim para ese número, con la finalidad de acceder a la cuenta bancaria y a otro tipo de información que le pueda interesar. El fin es usurpar la identidad del perjudicado para acceder a su cuenta del banco y robarle el dinero.

La tarjeta SIM CARD, puede incluir información sobre su cuenta bancaria. De este modo se convierte en objetivo de muchos hackers.

Navegando, encontré casos en redes corporativas y redes sociales, de personas que denuncian estos hechos. Y lo hacen sin muchas posibilidades de identificar a los autores.

Muchas personas han sido víctimas de una duplicación de la tarjeta SIM. Los ciberdelincuentes suelen realizar la gestión bancaria fraudulenta de inmediato, aunque a veces dejan pasar unos días. En ocasiones los resultados son dantescos: acceden a la cuenta bancaria, la vacían e incluso piden un préstamo para llevarse más dinero.

Al principio esta técnica, no se utilizaba para robar dinero, pero los malos han descubierto que duplicando la tarjeta SIM se pueden robar datos: contactos, fotografías, documentos, claves, productos licenciados, claves de licencias compradas, números de tarjeta de crédito, correos electrónicos, WhatsApp…

Sigue leyendo si quieres saber las técnicas que utilizan los delincuentes para hacerse con tu tarjeta SIM

Las operadoras de internet y de telefonía deben asegurar mejor los protocolos de identificación mediante preguntas personales, envío instantáneo del NIE o similar de la persona que solicita duplicado de la tarjeta

Para llevar a cabo esta estafa, el ciberdelincuente se habrá hecho previamente con un duplicado de tu tarjeta SIM, algo que puede conseguir presencialmente o por teléfono, según la operadora de telefonía móvil. La Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI) ha comunicado a las principales operadoras de internet y de telefonía que deben de asegurar mejor los protocolos de identificación mediante preguntas personales, envío instantáneo del NIE o similar, al objeto de asegurarse de que la persona que está tramitando el duplicado de la tarjeta SIM es real y su seguridad no es vulnerada.

Sim Swapping junto a ingeniería social para obtener beneficios

Debemos tener en cuenta que esta técnica no es consecuencia de un fallo de seguridad en nuestros dispositivos, sino que se basa en la falta de implementación de protocolos de verificación estrictos a la hora solicitar una copia de nuestra tarjeta SIM.

Además, esta técnica se usa conjuntamente con otras de ingeniería social para obtener beneficios, ya que lo que buscan los delincuentes en este caso es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles.

vishing y sim swapping

Cuando el hacker introduce la nueva tarjeta SIM en un móvil no le resulta difícil averiguar tu banco. Lo hace mirando en las apps instaladas, incluso llamando al servicio de atención al cliente, fingiendo ser el titular y solicitando la contraseña de manera segura, con lo que solicitará que se la envíen al teléfono asociado a la cuenta y en unos minutos tendrá acceso al dinero, independientemente del lugar que opere.

Existen ciberdelincuentes con gran experiencia que consiguen los datos con variadas técnicas: a través de spam, mandando correos, WhatsApp o SMS de forma masiva en los que se hacen pasar por distintos servicios o entidades para pedirnos directamente los datos.

Todos estos mensajes o correos tienen un link, que cuando se pulsa, el terminal es comprometido por un programa oculto que rastrea toda la información y la envía. Y no debemos olvidar la copia, "casi" exacta de las webs reales de bancos, entidades reputadas y famosas, e incluso con ofertas de trabajo, donde la gente llega a introducir todos los datos que le solicitan, desconociendo que, en vez de mostrar una oferta, un saldo o una factura, utilizan esos datos para robar.

Sigue leyendo si queires averiguar que es el vishing, el terror de las entidades bancarias

"Todo vale para estafar: cheques regalo de grandes superficies de compra, teléfonos de alta gama, sorteos o quinielas inexistentes, ayuda humanitaria, supuestos técnicos de Microsoft que nos comunican una incidencia"

Otra variante más sofisticada es el Vishing, el terror de las entidades bancarias, al ser un fraude que se realiza a través de una llamada telefónica con el objetivo de conseguir datos personales o bancarios de las personas, centrándose en los CEOs y siendo las victimas los secretarios o secretarias con escasa formación en Ciberseguridad.

El ciberdelincuente configura un war dialing , para que las víctimas acaben llamando a números telefónicos falsos de determinadas empresas, ministerios o similares. Pero antes estas serán las que reciban una primera llamada y, cuando contestan, una locución les alerta de que su tarjeta de crédito está siendo utilizada de manera fraudulenta y de que debe de llamar a un número de teléfono determinado o verificar su identidad en una plataforma, similar a la original.

A continuación, en el teléfono o plataforma, el mensaje se repite con una locución robotizada y piden la verificación de datos y los 16 dígitos de la tarjeta de crédito, el pin de seguridad, la fecha de expedición… Las consecuencias ya se saben.

Todo vale para estafar: cheques regalo de grandes superficies de compra, teléfonos de alta gama, sorteos o quinielas inexistentes, ayuda humanitaria, supuestos técnicos de Microsoft que nos comunican una incidencia y nos piden que les demos acceso al control de nuestro equipo... O, mucho ojo con esto otro, porque los ciberdelincuentes también conocen el funcionamiento de un CRM y son capaces de educarlos para mantener conversaciones en correos electrónicos y en redes sociales con las típicas historias de soldados que regresan con capital, divisas y mucho oro y están solteros, o las rusas desvalidas que solicitan el dinero para viajar y convivir con cualquier hombre, aunque no sepan cómo es físicamente.

Sigue leyendo si quieres averiguar cuáles son las herramientas más comunes para evitar estos ciberataques, desde métodos de autentificación a ciberconsejos

"Puedes hablar con tu entidad bancaria para que las operaciones se autentifiquen con una criptocalculadora

Como consejos genéricos podemos señalar que siempre hemos de ser cautelosos y ser conscientes de la vida útil de la batería, ya que cualquier ataque mermar su capacidad; que no debemos contestar a mensajes SMS o correos electrónicos que nos pidan datos sobre una factura no pagada, una promoción fantástica o similar. Otra recomendación sería mostrar prudencia absoluta ante cualquier persona o entidad que pregunte por nuestros datos o claves personales, y un consejo que tampoco debemos olvidar es que, a la hora de eliminar basura en casa o en nuestra actividad profesional que contenga información sensible, utilicemos una destructora de documentos.

Es vital utilizar métodos de autentificación tipo Authy, Google Authenticator, Microsoft Authenticator, y también puedes hablar con tu entidad bancaria para que las operaciones bancarias se autentifiquen con una criptocalculadora como la del Santander o similar. 

Además hay soluciones basadas en hardware, como son las Universal 2nd factor, U2F, que encontramos por menos de 10 euros.

Estas son unas llaves que conectamos a nuestro ordenador por el puerto USB y que originan un número aleatorio a través del cual se generarán los distintos hashes o algoritmos que se utilizarán para iniciar sesión en las plataformas con las que lo vinculemos.

Es decir, cuando tengamos que iniciar sesión en una página, lo único que tendremos que hacer es conectar esta llave a nuestro puerto USB y esperar a que nuestro navegador la reconozca y verifique, sin tener que hacer nada más. Ninguna persona sin esta llave podrá acceder a nuestra cuenta, aunque se haga con nuestra contraseña.

Sigue leyendo si quieres saber cuáles son tus derechos frente a los bancos si eres víctima de este tipo de estafa y también si quieres saber quién fue la persona que le hizo el Sim Swapping a la protagonista de esta historia

"El banco únicamente podrá negarse a devolver el importe de la transacción si puede acreditar que se ha actuado fraudulentamente de una manera deliberada o ha habido alguna negligencia"

Si descubres que has sido víctima del timo de duplicado de SIM, de una estafa cibernética o similar, debes de alertar a tu banco y reclamar que te devuelvan los cargos no autorizados, aportando la denuncia a la policía que habrás tramitado previamente.

La normativa aplicable en este tipo de situaciones establece que, en aquellos casos en los que se ejecute una operación de pago no autorizada, la entidad ordenante está obligada a devolver el importe de la transacción al instante. El banco únicamente podrá negarse si puede acreditar que se ha actuado fraudulentamente de una manera deliberada o ha habido alguna negligencia.

En caso de que la entidad no se avenga, deberás contactar con un abogado especializado en fraude bancario o, si precisas de asesoramiento estratégico profesional, buscarlo en la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos.

Volviendo al caso de la joven que había visto cómo la sustraían todos sus ahorros de la cuenta bancaria, hay que decir que una vez que tuvimos toda la información de su ciberdelito y, como imaginaba, con escasa jurisprudencia al respecto, elaboramos un perfil digital, puesto que en este tipo de ataques los ciberdelincuentes se suelen encontrar en un círculo muy cercano a la víctima como es la propia familia, los compañeros de trabajo, los ex y los compañeros de actividades compartidas como pueden ser el gimnasio, el club deportivo, etc., donde a veces descuidamos el control de nuestro terminal telefónico y facilitamos más datos de los que debemos.

Nuestro especialista Francisco Montenegro realizó una forense del correo electrónico, e identificó más de 32 ataques cibernéticos, realizando las trazas de cada uno de ellos, lo que finalizó con la identificación del atacante, que resultó ser la expareja de su prometido. Se elaboró una pericial de los correos electrónicos, identificando al atacante y los datos del ataque, su alcance y la trazabilidad del dinero. El día del juicio, como es habitual, los abogados llegaron a un acuerdo al que se sumó una indemnización para pagar los honorarios del perito.

Angel Bahamontes es Presidente de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos.