Blog de WatchGuard

El intercambio de SIM, una amenaza vigente

Aunque la técnica de intercambio de SIM o SIM Swapping lleva existiendo varios años, resulta difícil precisar su origen exacto. Un informe de ENISA señala que ya en abril de 2016, medios británicos alertaban del robo de una cuenta bancaria mediante esta técnica. En Estados Unidos, el primer caso documentado de intercambio de SIM a gran escala fue el de Joel Ortiz en 2018. Ortiz se convirtió en la primera persona condenada por este delito, tras declararse culpable de sustraer más de 5 millones de dólares en criptomonedas a 40 víctimas.

De modo que, a pesar de conocerse desde hace bastante tiempo, el intercambio de SIM sigue siendo una amenaza vigente en el mundo de la ciberseguridad. Pese a que sus vulnerabilidades son conocidas, muchas empresas continúan utilizándolo como método de autenticación debido a la facilidad de su implementación. Los SMS son una característica estándar en prácticamente todos los operadores de telefonía móvil del mundo. Así, incluso usuarios sin smartphones, en la mayoría de los casos, tienen un teléfono móvil sencillo que admite SMS, haciendo que esta forma de autenticación sea la más accesible. 

¿Cómo funciona el intercambio de SIM? 

El intercambio de SIM es un tipo de ataque cibernético que busca tomar el control de tu teléfono móvil para acceder a tus cuentas en línea. A diferencia de otros ataques, este se centra en un factor de autenticación común: los códigos de verificación enviados por SMS o llamada. En resumen, así es como funciona:

  1. Los ciberdelincuentes obtienen Su número de teléfono móvil. Lo pueden hacer a través de diversas técnicas, como malware, phishing o incluso comprando Su información en la dark web. 
  2. Se hacen pasar por usted ante su operador de telefonía. Buscan la forma de convencer al operador para que active una nueva tarjeta SIM con su número. 
  3. Con la nueva tarjeta SIM activa, interceptan los mensajes de verificación (OTP) y códigos 2FA. Con estos códigos pueden acceder a sus cuentas online, como su correo electrónico corporativo, entre otros. 

Si bien los ciberdelincuentes utilizan diversas técnicas para obtener el número telefónico de sus víctimas, como las mencionadas anteriormente, recientemente se han reportado métodos más sofisticados. En Estados Unidos, por ejemplo, se ha detectado un caso donde un individuo accedió a una lista de contactos de empleados de T-Mobile y les ofreció sobornos a cambio de realizar intercambios de SIM. En agosto del año pasado, un proveedor de servicios financieros ya alertó sobre un ataque similar: la cuenta de T-Mobile de un empleado fue comprometida sin que la empresa o el empleado tuvieran conocimiento. El atacante accedió a archivos con información personal de clientes de BlockFi, FTX y Genesis.

Aunque no se ha confirmado si el soborno fue el método utilizado en este último caso, esta técnica facilita enormemente el trabajo de los ciberdelincuentes.

¿Cómo mantener seguros a tus empleados y clientes?

Sin importar el tamaño de su empresa o si es un proveedor de servicios gestionados (MSP) tratando de proteger a sus clientes, la autenticación multifactor (MFA) ya no es una opción, sino una necesidad. Confiar únicamente en métodos de autenticación tradicionales como contraseñas o códigos SMS puede ser arriesgado, especialmente ante un posible ataque de intercambio de SIM. 

Implementar una solución de MFA robusta que combine la autenticación segura mediante notificaciones push o códigos QR con un factor de autenticación adicional basado en el ADN del dispositivo móvil garantiza la protección de tus empleados o clientes (en el caso de MSP). Esta protección adicional asegura que incluso si un atacante logra clonar el dispositivo de un usuario, no podrá acceder a sus cuentas debido a que el ADN del dispositivo clonado no coincidirá y será bloqueado.

Si quiere saber más sobre cómo proteger las identidades ante posibles ataques, no deje de visitar los siguientes artículos de nuestro blog: