SIM swapping es una sofisticada técnica hacker que puede vaciar tu cuenta bancaria en pocos minutos. La estafa de intercambio de SIM es un tipo de fraude de adquisición de cuenta que viola la autenticación de dos factores y la verificación de dos pasos, cuando el segundo factor o paso es un SMS o una llamada realizada a un teléfono móvil. El peligro real de esta técnica reside en que explota un punto débil en un poderoso sistema de protección de identidad: la verificación en dos pasos.
Imagen por NATALE Matteo vía Shutterstock
A continuación te detallamos el procedimiento de SIM swapping: primero, los hackers consiguen el número de móvil de la víctima e identifican la operadora que les da servicio; hecho esto, se ponen en contacto con esta operadora haciéndose pasar por el titular de la línea. En este punto, evidentemente conocen más datos del afectado, como el numero de su documento de identidad, fecha de nacimiento y posiblemente alguna cuenta bancaria. Con esta información explican en atención al cliente, que han perdido su móvil y desean un duplicado del SIM. Una vez en poder del chip, los hackers acceden a los principales servicios de la víctima pulsando sobre el enlace “he olvidado la contraseña” y recibiendo los códigos de verificación en la línea robada. A partir de ahí es una bola de nieve que no para de crecer. El tiempo de reacción de la víctima es determinante.
Las operadoras telefónicas en todo el mundo ha tomando medidas para impedir que suceda este intercambio de SIM no autorizado. El SIM swapping deja en evidencia la fragilidad del que es, hoy por hoy, el sistema de seguridad más eficaz: la verificación en dos pasos, que consiste en la utilización de un dispositivo adicional, por lo general el móvil, en el que se recibe un código temporal o token que acredita la identidad del usuario.
Por lo visto la recepción de un SMS es un sistema cada vez menos confiable, por lo que es preferible activar en aquellos servicios que lo soporten, la verificación en dos factores que evita el uso de mensajes de texto y en su lugar emplea otros dispositivos del usuario para generar códigos temporales.
