¿Alguna vez pensaste en cuánta información personal hay en tu tarjeta SIM?
Ese pequeño chip contiene datos muy valiosos sobre ti.
Más allá de tu número de celular, puede incluir información sobre tus contactos, tus fotos y videos, el país en el que vives o incluso tu cuenta bancaria.
Por eso robarla es lucrativo para muchos hackers.
Joel Ortiz, un estadounidense de 20 años, fue detenido en el aeropuerto de Los Ángeles a finales de julio y acusado de haber hackeado 20 móviles y robado el equivalente a US$5millones en criptomonedas.
Ortiz usó una técnica que se conoce como "SIM swapping" (cambio de SIM) o "SIM hijacking" (secuestro de SIM).
¿Cómo funciona?
Manipulación
El "SIM swapping" es un fraude cada vez más habitual.
Según la Comisión para el Comercio de Estados Unidos (FTC, por sus siglas en inglés), los casos han aumentado drásticamente en los últimos años.
El organismo registró apenas 1.000 incidentes de este tipo en el país en 2013. Tres años, más tarde, los casos superaban los 2.600.
Este tipo de estafa explota una de las mayores vulnerabilidades de las tarjetas SIM: el hecho de que funcionan en cualquier plataforma.
Lo hace gracias a lo que se conoce en informática como "ingeniería social"; el arte del engaño a través de técnicas de persuasión y manipulación psicológica.
La técnica de los hackers para llevar a cabo el "SIM swapping", la consiste en confundir a los vendedores de empresas de celulares y lograr que transfieran los números a tarjetas controladas por ellos.
Y le puede ocurrir a cualquiera.
Identidades falsas
Emma Mohan-Satta, de la compañía de seguridad informática Kaspersky Labs le dijo al sitio de noticias tecnológicas Digital Trends que muchos usuarios tienen sus celulares sincronizados con sus cuentas bancarias y que a menudo las víctimas son identificadas previamente.
Por eso, para llevar a cabo un cambio de SIM los atacantes suelen recabar la mayor cantidad de información posible sobre la víctima.
En ocasiones, los hackers usan técnicas como el phishing (se hacen pasar por una empresa o persona del entorno del estafado), de manera que puedan tener acceso a su fecha de nacimiento o número de teléfono.
Con esa información, crean una identidad falsa.
El primer paso es llamar al operador y decirle que su tarjeta SIM se perdió o se dañó. Después, piden que active una nueva tarjeta SIM para ese número.
Y luego acceden a la cuenta bancaria y a otro tipo de información que les pueda resultar de utilidad.
"Hace algunas semanas, una desconocida fue a una tienda donde venden teléfonos móviles, afirmó ser yo y dijo que quería actualizar sus celulares. Salió del comercio con dos nuevos iPhones, a los que les asignaron mi número de teléfono", explicó Lorrie Cranor, ex directora de tecnología del FTC, en el sitio web del organismo.
"Mis teléfonos Android automáticamente dejaron de recibir llamadas. Me llegó una gran factura y comencé a sentir ansiedad y el temor ante un posible robo de identidad".
Cranor dice que la persona de servicio al cliente de su operadora que le atendió le explicó que sus tarjetas habían sido desactivadas -y activadas luego en dos iPhones- y que probablemente había sido un error.
Después, un empleado de la tienda le contó que una mujer se había hecho pasar por ella. Solo le pidieron una foto de carnet y los últimos cuatro dígitos de su número de seguridad social.
Al final, Cranor reemplazó sus SIM de nuevo y sus teléfonos volvieron a funcionar. También cambió la contraseña de sus cuentas, añadió otro código PIN y reportó lo ocurrido.
Pero este tipo de estafas son difíciles de detectar. Y a veces, ya es tarde.
Muchas de las personas afectadas solo se percatan cuando tratan de hacer una llamada o enviar algún mensaje... y se dan cuenta de que su SIM ya no funciona.
Puedes prestar a atención a señales como movimientos en tu cuenta bancaria que no logras explicar, emails que ya no recibes o falta de notificaciones.
¿Cómo protegerte?
- Usa una contraseña grabada con tu voz o un PIN adicional.
- No compartas demasiada información en internet ni en tu celular.
- Mejor envía WhatsApp que SMS (estos últimos no son encriptados).
- Dile a tu operadora móvil que pida más datos para identificarte.
- No vincules tus cuentas bancarias a tu celular.
- Nunca le des a nadie tu código PIN.