En el SIM swapping, o intercambio de tarjetas SIM, un delincuente se asegura de que todas las llamadas y mensajes de texto de la víctima se redirijan a la tarjeta SIM del estafador. Esto les permite, por un lado, hacerse pasar por la víctima y, por otro, superar la autenticación de dos factores.
Con el intercambio de SIM, el atacante toma efectivamente el control de la tarjeta SIM de la víctima. Esto no se hace robando o pirateando la tarjeta SIM. En lugar de ello, el estafador se pone en contacto con el proveedor de telefonía móvil de la víctima (cuyo número de teléfono conoce) y finge ser la víctima y haber perdido su teléfono móvil. A continuación, el estafador pide que los datos de la tarjeta SIM se transfieran a otra tarjeta SIM o una tarjeta SIM de repuesto.
Si el estafador ha espiado suficiente información personal de Internet o de programas espía en el ordenador de la víctima (fecha de nacimiento, nombre de soltera de la madre, nombre de la mascota, escuela primaria, PIN o similares), el estafador puede hacerse pasar de forma creíble por la víctima al teléfono y organizar la transferencia de los datos o pedir una tarjeta SIM de repuesto e interceptarla después por correo. En algunos casos, los delincuentes también colaboran con cómplices que trabajan para las compañías telefónicas. Sin embargo, el resultado es siempre el mismo: El delincuente acaba con tu número de teléfono móvil.
El intercambio de SIM es mucho más que una molestia, porque los estafadores pueden utilizar tu número de teléfono para hacer mucho daño. En primer lugar, por supuesto, pueden hacer llamadas y hacerse pasar por ti, porque muchos de tus contactos comerciales, tanto particulares como organizaciones, han guardado tu número de teléfono y lo utilizan para verificarte en silencio.
Sin embargo, el fraude mediante mensajes de texto es aún más popular. Esto se debe a que muchos servicios online utilizan ahora mensajes de texto para la autenticación de dos factores. Debido a muchas filtraciones masivas de datos en los últimos años, los ciberdelincuentes tienen ahora acceso a millones de nombres de usuario y contraseñas. (Los clientes de Perseus pueden comprobar aquí si alguna de sus cuentas se ha visto afectada). La autenticación de dos factores garantiza que sigan sin poder acceder a tus datos, a menos que tengan acceso a tus mensajes de texto. Además, muchas cuentas online te permiten restablecer contraseñas olvidadas mediante un código que te envían -lo has adivinado- por SMS. En tal caso, sólo necesitas el nombre de usuario y la tarjeta SIM para acceder a las cuentas de clientes en comercios online, bancos u otras empresas.
Y quizá el peor caso de todos: algunos bancos siguen trabajando con mTans, es decir, TAN bancarios, que se envían como mensajes de texto al teléfono móvil del cliente. En tal caso, si alguien conoce tus datos de acceso al banco y tiene acceso a tu teléfono móvil, puede vaciar tu cuenta bancaria.
Lo más importante: ¡actúa con rapidez! Si de repente ya no puedes hacer llamadas ni recibir mensajes de texto, aunque todo lo demás esté técnicamente en orden, ponte en contacto inmediatamente con tu proveedor de telefonía móvil y bloquea tu tarjeta SIM.
Si tienes la opción de utilizar una segunda cuenta de correo electrónico en lugar de mensajes de texto para la autenticación de dos factores, utilízala.
Como medida de precaución, también puedes ponerte en contacto directamente con tu proveedor de telefonía móvil y pedirle que establezca un PIN de seguridad sin el cual nadie pueda hacer cambios en tu cuenta de cliente; en otras palabras, tampoco pidas una nueva tarjeta SIM.
