CÓMO PROTEGERSE DEL SIM SWAPPING
GUÍA ESENCIAL PARA BANCOS Y FINTECH QUE BUSCAN PROTEGER A SUS CLIENTES Y SUS NEGOCIOS DE ESTA AMENAZA CRECIENTE.
Introducción
El SIM swapping es una modalidad de fraude que se realiza mediante la duplicación de la tarjeta SIM de la víctima, para luego hacerse pasar por ella. También se la conoce como suplantación de identidad o secuestro de SIM. Mediante esta estafa se duplica el chip de una operadora telefónica por la solicitud de alguien que no es el legítimo titular de la cuenta.
Al poner en juego esta técnica los delincuentes buscan tomar el control de la tarjeta SIM de una persona, obviamente sin su autorización. De esta forma usurpan su identidad y luego acceden a sus cuentas en línea tales como cuentas bancarias, billeteras digitales, redes sociales y correo electrónico, entre otros.
Esta clase de fraude móvil está teniendo un impacto creciente. Su objetivo es “secuestrar” el número de teléfono de la víctima para aprovechar una de las formas más populares de seguridad que se utiliza en el ambiente bancario en la actualidad: las contraseñas de un solo uso (OTP), que se usan en el marco de los procesos de autenticación de dos factores (2FA).
Seguidamente veremos en detalle cómo funciona este tipo de fraude. Pero, en esencia, los estafadores buscan transferir el número de teléfono de la víctima de su tarjeta SIM a otra tarjeta SIM que tienen en su poder. Si lo logran, todos los mensajes de texto y llamadas telefónicas destinados a la víctima les llegarán a ellos (entre ellos las OTP), lo cual luego les permitirá acceder a los fondos de las personas, piratear sus cuentas financieras y más.
Decíamos que el SIM swapping está teniendo un mayor impacto: por ejemplo, entre enero de 2018 y diciembre de 2020 en Estados Unidos se habían recibido apenas 320 denuncias derivadas de esta estafa, que conllevaban pérdidas por U$S12 millones. En cambio, durante el 2021 ya se recibieron 1.611 denuncias con pérdidas cercanas a los 68 millones de dólares. ¿Por qué crece esta forma de fraude? La realidad es que, si los delincuentes tienen éxito, pueden llegar a acceder a las cuentas financieras de las víctimas rápidamente y sin demasiados riesgos.
Cómo funciona el SIM swapping
Los proveedores de telecomunicaciones crearon el proceso de intercambio de SIM para que los consumidores pudieran transferir fácilmente un número de teléfono existente a una nueva tarjeta SIM, en casos en que necesitaran actualizarse a un teléfono nuevo, o reemplazar una tarjeta SIM dañada o perdida. Este proceso es lícito y no involucra una estafa. Pero el problema es que, a partir de este servicio, los delincuentes detectaron una oportunidad para hacerse con el control de la línea de las personas. Y ahí es cuando aparece la estafa potencial, que se denomina SIM swapping.
Cabe indicar que cuando los dueños auténticos de la línea solicitan el intercambio de SIM (por cambio de celular o deterioro de la tarjeta, por ejemplo), los operadores les suelen hacer una serie de preguntas de seguridad que incluyen información personal. Es decir que allí existe una instancia de control. Sin embargo, el problema es que los ciberdelincuentes pueden obtener esta información al navegar y rastrear las actividades de sus víctimas en las redes sociales, o utilizando métodos de ingeniería social como el phishing; o incluso pueden comprar la información del usuario. Y de esta forma pueden tratar de concretar este tipo de fraude.
SIM swapping, paso a paso
Pero entonces, ¿cómo se lleva adelante en lo concreto este tipo de estafa?
Habitualmente los delincuentes siguen una secuencia de pasos:
Importancia de la protección contra SIM swapping
Si bien las entidades financieras no son responsables en forma directa del SIM swapping, en definitiva, este tipo de estafa puede afectar seriamente a sus clientes. Y también puede poner en riesgo su propia reputación. Por ello para los bancos y las fintech, es clave proteger a los consumidores contra el secuestro de tarjeta SIM.
Cabe resaltar que este fraude puede hacer que los clientes tengan importantes pérdidas financieras, padezcan el robo de identidad y la apropiación de sus cuentas. Mientras el estafador no sea detectado y anulado, podría tener acceso a toda la información de aplicaciones o servicios que dependen de la línea o de un SMS para cambiar las claves de acceso.
Estrategias preventivas
Para protegerse contra este fraude los consumidores deberían tratar de evitar que los atacantes recopilen los datos necesarios para hacerse pasar por ellos. Pero el problema es que los clientes rara vez son conscientes de que están expuestos a esta estafa, con lo cual no suelen tomar medidas preventivas.
Por ello es importante generar conciencia entre los usuarios y hacerles saber que es clave que mantengan la información personal segura y que tengan cuidado con las llamadas o mensajes sospechosos que pidan datos personales o cambios en la cuenta telefónica.
Recomendado por LinkedIn
En el caso de que un delincuente obtenga el control de una línea mediante esta estafa, el usuario legítimo notará la falta de servicio o de señal desde la operadora telefónica, y en estos casos la recomendación es comunicarse inmediatamente para saber qué pasó y aclarar si se trata de SIM swapping.
Por el lado de las entidades financieras, al estar al tanto de esta forma de estafa, están en mejores condiciones de tomar medidas preventivas. Por ejemplo, pueden implementar comprobaciones de seguridad antes de que se envíe un OTP por el canal que sea, whatsapp, mail o el número de teléfono de una persona, aprovechando datos como el historial de intercambio de SIM de un número de teléfono, a fin de generar señales de alerta. El espíritu de estos controles es evitar que las contraseñas OTP caigan en manos de los estafadores. Para llevar adelante estas medidas preventivas los bancos deben asociarse con los operadores móviles.
Solución de avanzada
Las compañías necesitan conocer si hubo un cambio de SIM de un cliente recientemente, de modo tal que puedan reforzar los controles y garantizar la seguridad de sus cuentas. Para colaborar con esto último desde Plusmo desarrollamos un servicio de consulta-respuesta que se ofrece bajo la modalidad de suscripción, se llama API Mobile Verify, y está especialmente orientado a los segmentos de banca, fintech, gaming, retail, e-commerce y de criptomonedas.
Este servicio permite saber si hubo un cambio del chip SIM en los últimos 90 días e informa la fecha en que sucedió. Además, permite saber si hubo un cambio de un operador a otro, y la fecha de activación en el operador celular actual.
API Mobile Verify ayuda en la verificación de identidad y en la prevención del fraude. Esta solución está enmarcada dentro de la iniciativa de los operadores Open Gateway, que busca reforzar la seguridad y proteger la privacidad de los usuarios cumpliendo con las normativas y mediante el desarrollo de distintas APIs. Entre otros detalles, es un servicio de gestión de alta disponibilidad, gran capacidad, alto volumen y baja latencia, que está basado en protocolos HTTPS para una integración sencilla.
Mediante una consulta vía API, la herramienta ofrece información en tiempo real sobre cuál es el operador de la línea, si fue portado, o no. Y, dependiendo del mercado, devuelve la fecha de portación.
De esta forma, mediante la detección temprana de señales de fraude, API Verify protege a las empresas y particulares contra usurpación de identidad y otros fraudes con tarjetas SIM. Los datos actualizados en tiempo real permiten decidir si la transacción es verosímil o, en su defecto, marcarla como potencialmente fraudulenta y buscar otro tipo de información para tomar decisiones.
Algunos casos de uso frecuentes de API Mobile Verify son:
Pagos online:
Los 2FA se envían, pero la incertidumbre sobre la recepción del SMS donde se espera puede ser una preocupación. La consulta de SIM swap detecta cualquier cambio de SIM y señala el número de teléfono como comprometido.
Inicio de sesión/Login:
Los proveedores de servicios pueden fortalecer sus métodos actuales incorporando la verificación de SIM swap para, por ejemplo, validar la posesión del número móvil antes de la autenticación de dos factores (2FA).
Restablecimiento de contraseña:
Los OTP suelen ser enviados por distintos canales que son visibles en el celular, la vía estándar para restablecer contraseñas. Por eso, esta verificación de SIM swap proporciona confianza en tiempo real sobre la integridad del número, de manera transparente y sin generar fricciones para el cliente. Asi no solo se protege en envío vía SMS sino por otros canales con whatsapp o email.
Conclusión
La tendencia mundial del SIM swapping está en alza. Y no solo eso: los ataques se están volviendo más sofisticados ya que los delincuentes están utilizando técnicas como el phishing y el vishing para engañar a las víctimas para que proporcionen su información personal. Mientras que el primero consta de un correo electrónico, mensaje de texto omensaje de WhatsApp con un contenido muy tentador, que podría parecer un mensaje urgente de un banco o una compañía muy conocida, aunque en realidad se trata de una estafa, en el segundo caso el ataque se plasma mediante un llamado telefónico con una voz convincente de alguien que se hace pasar por un agente de atención al cliente, un oficial de policía o incluso un familiar en apuros. Su objetivo es ganarse la confianza del interlocutor para obtener información sensible como números de cuenta, contraseñas o datos personales.
En un mundo donde la seguridad de los datos es crucial, la protección contra el SIM swapping se vuelve más imperativa que nunca. Frente a este contexto, los bancos, fintech y organizaciones afines pueden salvaguardar sus operaciones y la confianza de sus usuarios con nuestro servicio de vanguardia, API Mobile Verify de Plusmobile, que ya está disponible en el mercado para que estas compañías puedan proteger a sus clientes de esta amenaza creciente.