Por Neil Downing, Vicepresidente de Productos de Identidad en TMT Analysis
Los peligros de los ataques Sim Swap
Recientemente, nada menos que el FBI hizo un anuncio interesante al afirmar que los ciudadanos estadounidenses perdieron más de 68 millones de dólares por los ataques de SIM Swap en 2021.
Evidentemente, como empresa que está en primera línea intentando luchar contra este tipo de ataques, se me ocurren muchas cosas. En primer lugar, y quizás lo más obvio, es estupendo ver que un organismo policial sigue la pista de este delito y es capaz de ponerle número, algo que no vemos en muchos países por el momento. Esta impactante cifra se produjo en un número relativamente pequeño de ataques (1.611), lo que arroja un valor medio de algo más de 42.000 dólares por ataque. ¡WOW! Esto también sugiere que el intercambio de tarjetas SIM es quizás uno de los delitos más selectivos, ya que los estafadores eligen a víctimas concretas que saben que merecerán la pena.
En segundo lugar, el FBI da tres vectores de ataque en el ámbito del SIM Swap. La primera es de la que más hablamos y consiste en algún tipo de fraude de ingeniería social en el que el estafador se hace pasar por la víctima ante su operador de telefonía móvil y, utilizando los datos que ha obtenido, engaña al operador para que transfiera su número a un nuevo dispositivo que está bajo el control del estafador. Sin embargo, también se han detectado casos de estafadores en connivencia con un empleado del operador o incluso de pirateo de la red de señalización del operador para reasignar ellos mismos el número.
En tercer lugar, recientemente se han realizado otros análisis detallados sobre la forma en que se materializa el objetivo último del fraude. Normalmente, durante el mismo ataque de phishing en el que el estafador ha reunido lo suficiente para pasar los controles impuestos por el operador de telefonía móvil, también ha reunido datos bancarios, de modo que una vez realizado el canje puede invocar rápidamente un restablecimiento de contraseña y obtener acceso a sus cuentas bancarias mucho antes de que la víctima sea consciente de que está ocurriendo.
Cómo protegerse de los ataques de intercambio de Sims
Aunque la información más reciente muestra una cierta «estabilización» del Intercambio de SIM (algunos datos sugieren incluso que está disminuyendo a medida que los estafadores cambian de táctica y optan simplemente por un enfoque de ingeniería social para que la víctima facilite su información por teléfono), hay un par de preguntas obvias que deberían plantearse a partir de esto.
- Dado que muchos de los principales operadores ofrecen la posibilidad de comprobar el intercambio de tarjetas SIM, si usted es un banco o una institución financiera, ¿no le gustaría establecer ahora mismo una comprobación de intercambio de tarjetas SIM como parte de su proceso de restablecimiento de contraseñas? No costaría mucho y podría ahorrarle decenas de miles en indemnizaciones por cada víctima basándose en lo anterior
- De la utilización de los datos de intercambio de tarjetas SIM, tal y como viene haciendo TMT Analysis desde hace algún tiempo, se desprende que no todos los operadores contabilizan como intercambio de tarjetas SIM un evento reciente de «portabilidad» (es decir, cuando un nuevo abonado ha introducido su número en la red de ese operador). Para evitar fraudes, ¿no deberíamos, ya que eso es precisamente lo que ocurre en estos casos?
El sector de la telefonía móvil ya ha demostrado un encomiable sentido de la responsabilidad para empezar a controlar este tipo de fraude, y muchos están reforzando aún más sus controles de seguridad para eliminar la amenaza de ser pirateados o de que empleados sin escrúpulos puedan ayudar a atacar a personas, pero el sector es tan bueno como el operador más débil, así que hay que hacer más para atajar este problema. Como señala el FBI, sigue creciendo exponencialmente en EE.UU., con un crecimiento de más del 1000% en 2021, por lo que es evidente que sigue siendo necesario y bienvenido adoptar más medidas.
Protéjase hoy mismo
Si desea obtener más información sobre cómo proteger su empresa de los peligros de un ataque SimSwap, póngase en contacto con nosotros para hablar de nuestra gama de productos que pueden proteger a sus clientes info@tmtanalysis.com.