Hoy en día circulan montones de historias sobre estafas financieras, casi todos los días hay una nueva. Pero algunos destacan y ganan mayor tracción, de modo que acaban siendo percibidos por millones de personas.
Una de ellas fue la reciente historia de Charlotte Morgan, una joven londinense que a finales de agosto fue, como hacía a menudo, a hacer ejercicio a su gimnasio local de Chiswick, al oeste de Londres.
Al llegar, estaba de fiesta porque acababa de conseguir un nuevo trabajo. Pero esa alegría pronto se convirtió en desesperación cuando terminó su sesión de entrenamiento y fue a marcharse: la puerta de su taquilla estaba entreabierta y su mochila había desaparecido.
Pronto descubrió que también les había ocurrido a otros usuarios del gimnasio: era un robo organizado.
Además de otras pertenencias, Charlotte había perdido su teléfono, su tarjeta bancaria y las llaves de su puerta. Pero quedarse encerrada fuera de su piso y no poder soltar su bicicleta, que estaba encadenada a la verja exterior, pronto quedó claro, eran las menores de sus preocupaciones.
En cuestión de horas, los ladrones se habían ido de juerga por Londres, gastándose 3.000 libras sólo en una tienda Apple y miles más en otras tiendas.
Una vez que se dio cuenta de que había sido objeto de este tipo de ataques -algo nada fácil cuando de repente te quedas sin teléfono con el que comunicarte, sin tarjeta con la que pagar viajes o productos y sin poder entrar en tu propia casa para acceder a otros equipos informáticos-, Charlotte se tranquilizó parcialmente en un principio al pensar que lo único que podrían llevarse los ladrones era lo que había en su cuenta corriente.
Pero la realidad fue mucho peor. Pronto se supo que los ladrones habían burlado todos los controles de seguridad de su teléfono y habían asaltado no sólo su cuenta corriente, sino también sus ahorros. Y en pocas horas se habían llevado todo. Le habían robado miles de libras esterlinas que tanto le había costado acumular durante años. .
Como es comprensible, estaba conmocionada y desolada, pero también desconcertada.
Porque nunca se le había ocurrido que por el mero hecho de robarle el terminal los ladrones pudieran atacarla tan gravemente, creyendo que además estaba protegida por números PIN para activar las aplicaciones de su teléfono.
No fue hasta más tarde cuando descubrió cómo lo habían hecho.
explicó Charlotte: «Un experto en seguridad bancaria me explicó cómo es probable que se produjera la estafa. Una vez que el ladrón tenía mi tarjeta de débito, no necesitaba mi smartphone, sólo la tarjeta Sim, que se puede sacar por el lateral e introducir en otro teléfono.
«Esto elude la seguridad de la huella dactilar y el reconocimiento facial. Es el equivalente digital de una ventana abierta en una casa.
«Una vez dentro de mi cuenta, el ladrón podría restablecer el PIN en línea y, a continuación, cambiar todas mis contraseñas de seguridad bancarias. Es escandalosamente fácil. Creo que el ladrón pudo hacerlo en el taxi del gimnasio a la primera tienda Apple».
Es casi seguro que eso fue lo que ocurrió y, si me hubieran preguntado, habría dado la misma explicación.
Intercambiar Sims entre terminales es muy, muy fácil de hacer, con consecuencias devastadoras.
En TMT podemos detectar un Sim Swap -como se conoce a esta estafa- porque los patrones de transacción inusuales que inevitablemente le siguen nos delatan. Cuando alguien como la Sra. Morgan ha sido un ahorrador prudente durante un largo periodo, podemos ver ese historial previo -no esperamos verle asaltar su cuenta de ahorros por la noche para conseguir miles de libras en cantidades repetidas- y eso se convierte en una señal de alarma instantánea.
Por supuesto, el intercambio de Sims puede producirse y se produce constantemente por razones legítimas. La semana pasada me compré un iPhone nuevo. Hice mi copia de seguridad, cambié mi Sim al nuevo teléfono e inmediatamente replicó mi antigua página de inicio y contactos. La facilidad con la que esto sucede es una de las principales razones por las que la gente se queda con la misma marca de teléfono, Apple o un rival de Android, de un contrato a otro.
Nuestros protocolos de seguridad habrían sido capaces de distinguir entre lo que le ocurrió a Charlotte y mi inocente Sim switch por los diferentes comportamientos que les rodeaban, uno inocente y otro nefasto.
Sin embargo, sólo podemos supervisar los dispositivos de esta manera si nos lo pide una empresa cliente autorizada cuando ésta, a su vez, cuenta con el consentimiento de los usuarios. En este caso, el banco de Charlotte no parece haber utilizado este tipo de seguridad de respaldo de una empresa independiente como nosotros. Y no es raro, ya que esto ocurre sobre todo en el momento en que un cliente se suscribe a un nuevo servicio, el momento de la incorporación, como nosotros lo llamamos.
Empiezo a preguntarme si ha llegado el momento de que empresas como el banco de Charlotte ofrezcan este tipo de servicios con mucha más frecuencia. Al fin y al cabo, cada control sólo cuesta unos céntimos y sólo con la cantidad que acabaron teniendo que reembolsarle se habrían pagado cientos de miles de esas medidas preventivas.
Pero no es sólo el coste lo que impide generalizar estos controles, también está la cuestión de la privacidad. Mientras que los clientes están acostumbrados a que se les pida que autoricen comprobaciones en el momento de la inscripción, a que se investigue su historial crediticio, etc., es comprensible que tengan muchas más dudas a la hora de aceptar que se comprueben sus datos de forma más rutinaria y continua.
Así pues, es posible que pase algún tiempo antes de que existan sistemas permanentes que impidan a los ladrones atacar a la próxima Charlotte Morgan de la misma manera.
Mientras tanto, lo mejor que puede hacer es protegerse. Puedes hacerlo configurando un nuevo número PIN en la propia tarjeta SIM. Esto impediría que los ladrones pudieran hacer un ‘Sim Swap’ sin conocer ese PIN.
En un iPhone, basta con ir a Ajustes y pulsar «Teléfono». A continuación, toca «PIN SIM» para acceder a esta función. Pulse «PIN SIM» para activarlo. Su SIM vendrá con un PIN predeterminado establecido por su operador de telefonía móvil que luego puede reemplazar.
Espero que esto ayude a corto plazo. A largo plazo, sería bueno pensar que el mundo empresarial podría hacer más.
Si desea más información sobre los servicios de protección contra el fraude que ofrece TMT Analysis, escríbanos a info@tmtanalysis.com.
