Blog de WatchGuard

El intercambio de SIM, una amenaza vigente

Aunque la técnica de intercambio de SIM o SIM Swapping lleva existiendo varios años, resulta difícil precisar su origen exacto. Un informe de ENISA señala que ya en abril de 2016, medios británicos alertaban del robo de una cuenta bancaria mediante esta técnica. En Estados Unidos, el primer caso documentado de intercambio de SIM a gran escala fue el de Joel Ortiz en 2018. Ortiz se convirtió en la primera persona condenada por este delito, tras declararse culpable de sustraer más de 5 millones de dólares en criptomonedas a 40 víctimas.

De modo que, a pesar de conocerse desde hace bastante tiempo, el intercambio de SIM sigue siendo una amenaza vigente en el mundo de la ciberseguridad. Pese a que sus vulnerabilidades son conocidas, muchas empresas continúan utilizándolo como método de autenticación debido a la facilidad de su implementación. Los SMS son una característica estándar en prácticamente todos los operadores de telefonía móvil del mundo. Así, incluso usuarios sin smartphones, en la mayoría de los casos, tienen un teléfono móvil sencillo que admite SMS, haciendo que esta forma de autenticación sea la más accesible. 

¿Cómo funciona el intercambio de SIM? 

El intercambio de SIM es un tipo de ataque cibernético que busca tomar el control de tu teléfono móvil para acceder a tus cuentas en línea. A diferencia de otros ataques, este se centra en un factor de autenticación común: los códigos de verificación enviados por SMS o llamada. En resumen, así es como funciona:

  1. Los ciberdelincuentes obtienen tu número de teléfono móvil. Lo pueden hacer a través de diversas técnicas, como malware, phishing o incluso comprando tu información en la dark web. 
  2. Se hacen pasar por ti ante tu operador de telefonía. Buscan la forma de convencer al operador para que active una nueva tarjeta SIM con tu número. 
  3. Con la nueva tarjeta SIM activa, interceptan los mensajes de verificación (OTP) y códigos 2FA. Con estos códigos pueden acceder a tus cuentas online, como tu correo electrónico corporativo, entre otros. 

Si bien los ciberdelincuentes utilizan diversas técnicas para obtener el número telefónico de sus víctimas, como las mencionadas anteriormente, recientemente se han reportado métodos más sofisticados. En Estados Unidos, por ejemplo, se ha detectado un caso donde un individuo accedió a una lista de contactos de empleados de T-Mobile y les ofreció sobornos a cambio de realizar intercambios de SIM. En agosto del año pasado, un proveedor de servicios financieros ya alertó sobre un ataque similar: la cuenta de T-Mobile de un empleado fue comprometida sin que la empresa o el empleado tuvieran conocimiento. El atacante accedió a archivos con información personal de clientes de BlockFi, FTX y Genesis.

Aunque no se ha confirmado si el soborno fue el método utilizado en este último caso, esta técnica facilita enormemente el trabajo de los ciberdelincuentes.

¿Cómo mantener seguros a tus empleados y clientes?

Sin importar el tamaño de tu empresa o si eres un proveedor de servicios gestionados (MSP) tratando de proteger a tus clientes, la autenticación multifactor (MFA) ya no es una opción, sino una necesidad. Confiar únicamente en métodos de autenticación tradicionales como contraseñas o códigos SMS puede ser arriesgado, especialmente ante un posible ataque de intercambio de SIM. 

Implementar una solución de MFA robusta que combine la autenticación segura mediante notificaciones push o códigos QR con un factor de autenticación adicional basado en el ADN del dispositivo móvil garantiza la protección de tus empleados o clientes (en el caso de MSP). Esta protección adicional asegura que incluso si un atacante logra clonar el dispositivo de un usuario, no podrá acceder a sus cuentas debido a que el ADN del dispositivo clonado no coincidirá y será bloqueado.

Si quieres saber más sobre cómo proteger las identidades ante posibles ataques, no dejes de visitar los siguientes artículos de nuestro blog: