Los problemas del celular como método para verificar tu identidad.
Este artículo fue publicado originalmente en web.karisma.org.co el 16 de noviembre de 2020.
Por Andrés Velásquez/ Investigador K+LAB
El uso del teléfono celular para recibir claves y pines de autenticación para ingresar a las redes sociales, correos electrónicos y plataformas financieras es una práctica fácil de adoptar que se ha venido popularizando entre las personas usuarias de diferentes servicios digitales. El problema es que los criminales han encontrado la oportunidad de aprovecharlo para ejecutar diferentes estafas y fraudes basados en la suplantación de identidad, por ejemplo, mediante el duplicado de la tarjeta SIM de nuestro celular.
El crecimiento de estos fraudes y la dificultad de evitarlos obliga a las compañías telefónicas, a los bancos y a los usuarios a pensarse otras opciones para mitigarlos.
Intro
¿Recuerdas haber usado un numerito que te llegó a tu teléfono móvil para registrarte o entrar en alguna de tus redes sociales? ¿O para entrar a tu correo? ¿O para hacer una transferencia bancaria?
La respuesta probablemente sea que sí. El doble factor de autenticación es una medida importante de seguridad digital y se ha vuelto costumbre por parte de muchos servicios de internet usar el celular de las personas como esa segunda forma para verificar su identidad. El problema es que los criminales han encontrado la oportunidad de aprovecharlo para ejecutar diferentes estafas y fraudes basados en la suplantación de identidad.
En varios casos de autenticación digital, el número de teléfono equivale a un documento de identidad, pero sin la seguridad física y jurídica de un documento oficial. Los números de teléfono son de la compañía telefónica. Aunque podemos llevarnos el número de una compañía a otra o de una SIM a otra, en caso de robo o pérdida del aparato, hay situaciones donde recuperar el número puede ser muy difícil o imposible. También hay otras situaciones en las que gente inescrupulosa explota esta funcionalidad con el fin de suplantar a otra persona.
Si perdemos temporal o permanente el número de teléfono (ej. al salir del país o por un proceso judicial) es muy probable que también perdamos el acceso a cuentas en línea de todo tipo. Si bien algunas las podríamos restituir con verificaciones de identidad, otras pueden ser muy difíciles de recuperar. En el caso del correo electrónico, mucha información e incluso otras cuentas en línea ligadas a ese correo se podrían perder.
Sin embargo, son los sitios de finanzas en línea como los bancos, los mercados de valores y los de criptomonedas los que han sacado a la luz este problema, ya que el uso del teléfono como segundo factor de autenticación permite a los criminales mover o retirar dinero y valores de este tipo de servicios digitales. La técnica se conoce como SIM swapping o, en español, intercambio de SIM.
Aunque suene complicado, no lo es. De hecho, la mayoría lo hemos hecho alguna vez sin saber que tenía un nombre tan sofisticado. Si alguna vez se te ha perdido el celular o te lo han robado, seguro has ido o llamado a tu compañía de teléfonos para pedir, primero, que bloqueen tu antigua SIM y, segundo, que te entreguen una nueva con tu viejo número. Eso es un SIM swapping, pasar la línea telefónica de una SIM a otra.
Normalmente, este proceso requiere de una verificación física de identidad por medio de un documento oficial como la cédula. Si esta verificación se hace mal o no se hace, corremos el riesgo de que alguien use este mismo procedimiento para robar nuestra línea telefónica. De esta forma, usará la línea para recibir los mensajes de texto con los que nos dimos de alta a algún servicio digital o que a lo mejor usamos para transferir dinero a otra persona.
El fraude
El SIM swapping puede usarse en un proceso fraudulento de suplantación de identidad. Primero, los criminales necesitan información esencial de la persona a la que piensan estafar (nombres, número de teléfono, nombres de usuario, números de identificación, fechas, contraseñas, etc.). Esta información la pueden conseguir de diferentes maneras. Principalmente, se hace a través de phishing usando engaños y páginas falsas para capturar los datos de la víctima (por ejemplo el correo y la contraseña) y luego usar el SIM Swapping para sobrepasar el segundo factor de autenticación. También puede haber una persona corrupta en una compañía telefónica o en un banco que facilite los datos iniciales. Y en menor frecuencia, la información requerida para este fraude es conseguida de bases de datos que han sido hackeadas o filtradas, y que son vendidas en mercados negros.
Una vez los criminales obtienen esta información, intentarán entrar a las cuentas digitales de sus víctimas. Si la persona activó la autenticación de dos factores, necesitarán un código o número que suele llegar al teléfono de la persona dueña de la cuenta. Para obtenerlo, los criminales “engañan” a la telefónica para que realice el procedimiento de cambiar la línea telefónica de la SIM original a una que se les entregará. Tan pronto tengan esa SIM, la usarán para completar el proceso de autenticación y, por ejemplo, entrar al correo electrónico de la víctima, realizar una transferencia bancaria o un retiro de un mercado de valores.
El engaño a la telefónica es el punto crítico de este esquema y, como siempre, hay varias opciones para llevarlo a cabo. Lo más fácil es que un empleado de la telefónica sea parte de la operación criminal y sea esta persona la que realiza el cambio. Esto se explica porque lo más probable es que en la verificación física de la identidad de la persona que va a realizar el cambio suenen las alarmas por el intento de suplantación de identidad, fácilmente verificable por los empleados encargados en la compañía telefónica. Es decir, con los controles que deben tener las compañías telefónicas para estos casos es más complicado que un estafador engañe a la compañía sin complicidad de alguien adentro.
Existe otra opción, la más sofisticada de todas: que los hackers vulneren la seguridad de la telefónica y por sus propios medios logren hacer el intercambio de las SIM. Esto no es común, pero pasa.
De aquí en adelante las opciones son muchas y van más allá del fraude bancario pues quien se hace a tu línea de teléfono celular puede hacer muchas cosas. Una de las cosas que puede hacer fácil es acceder aWhatsApp simplemente bajando la aplicación al teléfono que tiene la SIM clonada. Esta aplicación de mensajería instantánea usa las líneas telefónicas como único método de autenticación, por lo que un atacante con solo instalar la aplicación podría bajar todo el historial de mensajes de la persona afectada y tomar control de su chat.
El nombre de usuario en redes sociales es otra cosa que se puede robar. Hay quienes gustan de los nombres extravagantes en las redes sociales y cuando digo extravagantes en internet, me refiero a muy cortos, por ejemplo, la cuenta @j0 tanto en Twitter como en Instagram que pertenecía a un conocido SIM swapper estadounidense. Este tipo de cuentas son conocidas como OG (de original gangster o mafioso original, en español). Normalmente, las tienen las personas que adoptaron tempranamente una de estas redes sociales y tomaron nombres cortos que terminarían siendo escasos y valiosos. Estas cuentas son vendidas o usadas por los criminales por el solo gusto de usarlas. También pueden ser usadas para promover más fraudes o extorsionar a los dueños originales de las cuentas.
Este esquema fraudulento es tan difícil de prevenir que al CEO de Twitter, Jack Dorsey, le hackearon su Twitter de esta manera.
Sin embargo, la mayoría de los estafadores que usan esta técnica tienen motivaciones económicas. En Colombia, a una persona a la que le sacaronun duplicado de su SIM, le robaron altas sumas de dinero. También se han reportado robos por las aplicaciones de los bancos. Hay robos mundialmente famosos como el que le hicieron a Michael Terpin, un inversionista de criptomonedas al que le robaron el equivalente a 24 millones de dólares en cryptoactivos usando este tipo de fraude.
