"Duplicaron mi SIM y me robaron 1.300€": el fraude del 'SIM swapping' vuelve a España

"Era una llamada de esas sin sentido. De esas que hablas con un amigo de nada importante, ¿sabes? Por eso cuando se cortó ni nos preocupamos en volvernos a llamar". El protagonista de estas líneas no le dio importancia. "Es algo que ocurre a menudo". No sabía que en ese momento, detrás de ese fallo que todos hemos sufrido alguna vez, alguien había conseguido hacer un duplicado de su tarjeta del móvil y tenía acceso a valiosa información.

TE PUEDE INTERESAR

El gran 'hackeo' de la prostitución española: datos de 'escorts' y clientes, al descubierto

M. Mcloughlin

Tan solo un rato después, antes de entrar al cine, se percató de que no tenía línea. No se daría cuenta hasta varias horas después, pero había sufrido lo que se conoce como 'SIM swapping'. Esta es una técnica bastante recurrente en países como Estados Unidos, pero en nuestro país es un fenómeno relativamente desconocido. "Apagué el móvil, saqué y volví a meter la tarjeta... Hice todo lo que se hace en estos casos. Conseguí llamar con la línea del trabajo a Vodafone y me decían que estaba todo correcto y no veían ninguna incidencia". Decidió dejarlo para más adelante y entrar a ver 'Érase una vez en Hollywood'. El tiempo que duró la película, la persona que había conseguido ponerse a los mandos de su número de teléfono consiguió acceder a su cuenta bancaria y ordenó varias transferencias a una cuenta en el extranjero.

Transferencias y 1.300 euros

Cuando llegó a casa, empezó a inquietarse. "Fue conectarse el móvil al wifi y empezar a entrarme varios 'mails' con movimientos y transferencias de mi cuenta", explica 'Otto Más' a Teknautas. "Te daría mi nombre sin problema, pero con todo esto que ha pasado estoy un poco sensible con esto de la identidad", nos dice este burgalés de 45 años, afincado en Madrid desde hace 10 años. "Conseguí contactar con mi banco. Habían cambiado mis credenciales de acceso pero finalmente consiguieron identificarme y paralizar todo". En paralelo, intentó contactar con el servicio de atención de su operadora para reestablecer su línea. "Entonces no relacionaba una cosa con la otra: `pensé que era una ciberestafa y punto".

Consiguió parar las transferencias, pero le robaron 1.300 euros de una cuenta común con su pareja

El susto podía haber quedado ahí, pero no. Acudió a su banco a solicitar los movimientos para adjuntarlos a la denuncia que interpondría ante la Policía Nacional y recibió una llamada: "Era mi novio. Que nos habían limpiado la cuenta común. 1300 euros. Lo habían conseguido hacer desde un cajero. La cosa es aún más sorprendente cuando te cuento que la tarjeta de crédito asociada sigue hasta en el sobre, con la pegatina puesta. No la he utilizado nunca". 'Otto_Mas', después de pasar por comisaría, acudió a una tienda de Vodafone para "recuperar su línea".

El duplicado de la SIM

El puzzle se completó en ese punto. "Ahí fue cuando me contaron que alguien había hecho un duplicado de la SIM en otro local de la compañía, justo a la hora que a mí se me había cortado". Consiguió referencias del proceso y de la autorización —aunque por "asuntos de datos personales" no le pudieron dar nombres o lugares concretos—, que utilizó para ampliar la denuncia el pasado viernes. Tiene la certeza de que la copia se realizó "fuera de Madrid". Además, comprobó, al recuperar su línea, que se habían producido tres llamadas al servicio de atención al cliente de uno de los bancos donde tiene abierta una cuenta. Ha pedido las grabaciones, pero aún no tiene una respuesta.

'Otto Más' ha recibido la llamada de su operadora, que le ha trasmitido "lo grave" de lo sucedido y que "han iniciado una investigación" para llegar al fondo de la cuestión. Sigue bastante sorprendido, porque es una de esas personas que tienen "un cuidado extremo" con las contraseñas: no las repite, tiene doble autenticación, acceso biométrico, no las comparte... Todavía le faltan cabos por atar. "Al finaln hay dos posibilidades. Que alguien haya accedido a una copia del DNI y lo haya utilizado en la tienda, algo improbable porque lo tengo encima todo el rato. O que alguien de dentro, con acceso a mis datos, haya hecho esto".

"Un riesgo evidente"

El asunto ya está en manos de la Policía Nacional que lo está investigando. No es ni mucho menos el primer caso. En junio se dio otro caso destacado en España: el usuario no solo se encontró varias transferencias, sino que el atacante había incluso solicitado un préstamo de 50.000 euros. Fuentes de la Guardia Civil aseguran que sí que percibieron un pico hace unas semanas, pero que "ahora está más parado".

En países como EEUU esta práctica suele ser más habitual. El CEO de Twitter cayó en esta trampa

"Es cierto que es un riesgo evidente para los usuarios muy grande", aseguran desde el Instituto Armado. "En Estados Unidos, es un asunto recurrente y buscan gente con carteras de criptodivisas vinculadas al doble factor de autenticación al SMS del móvil. Reinician las credenciales y les roban los bitcoins", explican. Jack Dorsey, cofundador y CEO de Twitter, o la actriz Jessica Alba han sido víctimas de este fraude. En este caso, los piratas informáticos utilizaron esta técnica para hacerse con sus claves de la red social y publicar varios mensajes.

Estas mismas voces insisten en que este tipo de delitos "necesitan de la inmediatez del engaño y la nueva SIM". Si se intenta pedir esa tarjeta SIM para que la envíen a domicilio, se abre una ventana de varios días en que la víctima se puede percatar. "Se puede acudir a la tienda directamente o pedirla por internet y luego ir a recogerla, lo que igual hace más fácil poder acceder a ese duplicado", rematan.

Vinculación al móvil

"El problema de todo esto es que las medidas de seguridad que tomemos pueden ser fácilmente quebradas si tenemos un eslabón débil en la cadena", explica Sergio Carrasco, especialista en ciberseguridad, quien señala que ese agujero puede estar tanto en quien emite esa copia de la SIM como en la plataforma por su forma de trabajar con los números. No le extraña que hayan podido hacerse con las credenciales del banco. "Es tan fácil como haber solicitado el reseteo del pin de acceso a las cuentas, que en algunas entidades se envía directamente al móvil asociado a la cuenta".

"En muchas ocasiones, conocer si tienes cuenta en un banco o en otro es muy fácil, una vez tienes el número de DNI. Lo introduces y automáticamente te pide coordenadas u otra clave, lo que te da certeza que está asociado", opina Samuel Parra, experto en derecho digital y ciberseguridad, que asegura que es una técnica muy difícil de evitar. "Se te va la línea y lo último que piensas es en esto. Piensas que es un problema de la red".

Este letrado no termina de ver que esto constituya un posible delito de suplantación de identidad. "Hay que pensar que ese artículo del Código Penal está redactado hace más de 30 años. La persona que te suplante se tiene que irrogar en múltiples ámbitos", explica. Pone como ejemplos varias sentencias sobre redes sociales. "No basta con que alguien se cree un perfil con tu nombre y empiece a publicar para ser constitutivo de este delito. Eso sí, si ya empieza a hablar con tus contactos, con tus amigos, con tu madre como si fueras tú, la cosa cambia", explica.

Parra explica que, "dependiendo el modo de operar en esta estafa", podríamos estar ante varios delitos, como "falsificación de documento público", "revelación de secretos" al acceder a un equipo y una plataforma y, por supuesto, "delitos económicos". ¿Y la empresa? ¿Podría tener responsabilidad? "Si se prueba que no han tenido los controles necesarios de seguridad para verificar la identidad, la compañía también tendría que hacer frente a una responsabilidad civil".

Ingeniería social

Es cierto que en España todavía no se ha llegado a los niveles de otros países, pero Parra alerta de que esto podría cambiar. Asegura que hay bancos que están pensando en obligar a instalar la 'app' oficial para tener acceso a la banca digital. "Eso podría provocar un efecto llamada para 'hackers' y ciberdelincuentes. Si lo hacen, tienen que reforzar las medidas de seguridad".

Los barridos para obtener información personal en internet cada se hacen de manera más automática

El 'SIM swapping' tiene mucho de ingeniería social, que es la práctica de obtener información confidencial manipulando a los usuarios. "Hay que contar con información del usuario, aunque cada vez resulta más sencillo hacer barridos automatizados para ver si se detecta algún lugar donde poder empezar a atacar", avisa Carrasco, que añade que estas operaciones cada vez se hacen más "a través de 'scripts' automáticos en lugar de manualmente".

Ambos expertos ponen en duda la fiabilidad de la autenticación en dos pasos vía SMS. "Hay que tener en cuenta que si acceden a tu teléfono, es probable que tengas otros servicios como Gmail, Twitter o LinkedIn asociados a este tipo de control", recuerda Parra. "Es mejor que nada, ya que impide, por ejemplo, la utilización de claves que se hayan filtrado", añade Carrasco, quien pone el acento en sistemas la generación de 'tokens' de un solo uso en aplicaciones diseñadas para ello.