• No se han encontrado resultados

SIM Swapping: una forma alternativa de atacar la privacidad del usuario.

N/A
N/A
Info
Descargar
Protected

Academic year: 2022

Share "SIM Swapping: una forma alternativa de atacar la privacidad del usuario."

Copied!
6
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 6 página )

Texto completo

(1)

1

SIM Swapping: una forma alternativa de atacar la privacidad del usuario.

Rebeca Padilla Hernández

Investigadora Privada especializada en Ciberseguridad y Hacking ético

Scelus Studium · Educational Online Research Center Septiembre 2021

Copyright @2021 Scelus Studium Educational Online Research Center.

(2)

2

Introducción.

El primer trimestre del actual año 2021, la Europol consigue detener a diez personas pertenecientes a una misma red delictiva consistente en el robo de tarjetas SIM o en el SIM Swapping. Todos ellos acaban siendo detenidos en Europa, mayormente en Reino Unido.

Con esta técnica se ataca víctimas famosas tales como influencers, deportistas, músicos/as y actores o actrices, entre otros. Éstos se convertían en seres vulnerables por lo que conllevaba: información valiosa a cambio de una generosa cuantía económica.

Al final consiguen reunir más de cien millones de dólares estadounidenses, tanto en efectivo como en criptodivisas. En su gran mayoría, los/las agraviados/as residían en Estados Unidos.

1. CONCEPTO.

Primeramente, el término inglés swap hace referencia a ‘intercambiar’ empero en España, se entiende más bien como ‘duplicar’. Por ende, el SIM Swapping se refiere a la duplicación de tarjetas SIM.

Como es observable, esta conceptualización hace más bien referencia al modus operandi de los ciberagresores. Éstos consiguen acceder a la información necesaria de la víctima: nombre completo, número de identificación personal, correo electrónico o teléfono, entre otros.

El obtener esa información es algo necesario para poder llamar a la compañía telefónica haciéndose

1 Nociones básicas de Phishing en https://scelustudium.weebly.com/nociones-

baacutesicas/nociones-basicas-de-phishing.

pasar por la víctima y poder pedir un duplicado de la tarjeta SIM sin problema ni esfuerzo alguno.

2. MODUS OPERANDI.

Para conseguir la información necesaria, los ciberdelincuentes pueden emplear los dos métodos ya explicados en otros escritos:

Phishing1 e Ingeniería Social2.

Gracias a la última, estos delincuentes manipulan a la víctima hasta hacerles creer que, quién les está pidiendo los datos personales, pertenece a

2 Nociones básicas de Ingeniería Social: aspecto tecnológico en https://scelustudium.weebly.com/nociones- baacutesicas/nociones-basicas-de-ingenieria-social-aspecto- tecnologico.

(3)

3

alguna empresa con la cual tienen algún contrato pactado.

En adelante, se hace uso de técnicas de Phishing con las cuales, en cuestión de minutos, se falsifica una página oficial, para que la víctima acabe introduciendo los datos sin sospechar en ningún momento del engaño.

Cuando el delincuente cibernético consigue finalmente el duplicado de tarjeta en formato físico, la SIM anterior deja de funcionar, provocando que la víctima perciba que en su dispositivo empieza a perder cobertura y deje de recibir llamadas y mensajes. Es en ese preciso momento cuando el agresor consigue tener acceso a los correos electrónicos tanto personales como de empresa y así realizar compras y controlar el saldo del banco, entre otros.

A grosso modo, bajo mi punto de vista puede resumirse en los siguientes riesgos:

• Fraude bancario.

Con la aparición de la tecnología y desaparición de una gran cantidad de sucursales físicas bancarias, cada día se apuesta más por realizar todos los trámites posibles a través de aplicaciones.

Esto conlleva a que, si se llega a realizar un duplicado de tarjeta, el ciberagresor pueda acceder fácilmente a la aplicación y poder realizar movimientos con el dinero per se.

Esto, además se dificulta a la hora de recuperar el dinero por el hecho de que las entidades bancarias ponen muchos

problemas y la mayoría de las veces sólo devuelven un porcentaje minoritario de lo perdido.

• Privacidad.

Cuando el ciberdelincuente consigue acceder a los perfiles públicos de una persona con cierta fama reconocida, se torna en un problema con cierto grado de sensibilidad debido a la posibilidad de publicar comentarios o fotografías que llegasen a denigrar y dañar la reputación de la víctima per se.

• Suplantación de identidad.

Si el agresor llega a conseguir toda la información, o gran parte, de la víctima, en poco tiempo puede llegar a abrir cuentas haciéndose pasar ésta.

Todo ello, suele estar protegido por la autenticación de dos pasos.

Como ejemplo, puede vislumbrarse a la hora de efectuar un pago vía online o una transferencia:

para comprobar que realmente quien realiza la gestión es el usuario real, se suele enviar un código al móvil el cual debe incluirse en la página visitada en un tiempo determinado.

No obstante, el problema radica en el momento en que la tarjeta SIM a la cual llega este código es la duplicada, ergo la del ciberdelincuente. En estos casos, éste puede realizar la compra y autorizarla: tiene acceso a todos los pasos extras de seguridad. Además, incluso éste podría llegar a cambiar la contraseña si así lo desease de cualquier aplicación o red social de la víctima.

(4)

4

3. FORMAS DE PREVENCIÓN.

Antes de nada, debe valorarse que evitar la forma de ataque descrita en el presente escrito no depende completamente del usuario per se.

El ‘gran agujero de seguridad’ se haya realmente en las operadoras telefónicas.

Me explico: cuando un usuario se pone en contacto con ellas, ya sea para abrir una línea nueva bajo un nombre X o pedir un duplicado de la tarjeta existente, las barreras de seguridad o requisitos exigidos son bastante escasos, por lo que no es difícil llegar a la conclusión de que, si el ciberdelincuente consigue los datos básicos de una futura víctima, no tendrá dificultad alguna para cometer sus actos criminales.

Lado aparte, también debe considerarse la opción de que la víctima no caiga en ningún engaño Phishing o de Ingeniería Social.

Aún así, cierto es que existen medidas para dificultar que un agresor pueda culminar el delito descrito en este artículo:

• Tener código PIN para desbloquear la tarjeta SIM. Es preferente que el PIN no sea información personal como año de nacimiento o similares. Además, no debe compartirse ni dejarse escrito en lugares fácilmente visibles.

• No guardar datos ni capturas donde se observe información importante y personal.

• No abrir correos sospechosos desde el dispositivo móvil.

Por otro lado, también existen otros protocolos a valorar los cuales ofrecerán una mayor seguridad aun siendo de una dificultad mayor a la desarrollada habitualmente por el usuario medio:

• Gestor de contraseña.

Servicio de tercero el cual almacena las contraseñas empleadas en diferentes plataformas. Gracias a ellos, se puede tener una contraseña diferente en cada plataforma, ya que te permite guardarlas y usarlas en cualquier momento. Algunos de ellos tienen la opción de crearlas de forma aleatorias, dando mayor fortaleza, ergo más dificultad para averiguarlas.

(5)

5

• Usar aplicación de autenticación.

En este caso, las más reportadas son Microsoft Authenticator, Google Authenticator o Authy. Éstas se configuran previa indicación de los sitios en que será usado junto con la hora. Generalmente se facilita un código de 6 a 8 dígitos con validez durante 30 segundos aproximadamente.

• Uso de llaves U2F.

Llaves físicas y conectadas al ordenador mediante USB. Éstas generan un número aleatorio con el cual, a su vez, se generan diferentes hashes cuyo uso se vinculará al inicio de sesión de diferentes plataformas.

A partir de ello, cuando se desee abrir sesión en alguna de ellas, tan sólo será necesario conectarlo al puerto USB. Esto lo convierte en un método verdaderamente fiable ya que por mucho que el ciberdelincuente sepa la contraseña per se, le seguirá haciendo falta el hash para poder acceder a ellas. El único contrapunto de este dispositivo es que, actualmente, el listado de navegadores en los que puede usarse es bastante limitado.

(6)

6

REFERENCIAS.

“Authorities arrest SIM swapping gang that targeted celebrities” https://www.zdnet.com/article/authorities-arrest-sim-swapping- gang-that-targeted-celebrities/ [consultado el 23/08/2021 a las 8:37 horas]

“Cómo proteger tu SIM del móvil de ataques hacker” https://www.adslzone.net/reportajes/seguridad/proteger-tarjeta-sim-ataque- hacker/ [consultado el 23/08/2021 a las 12:17 horas]

“Detenidos 10 jóvenes que hackeaban los teléfonos de famosos” https://www.adslzone.net/noticias/seguridad/sim-swapping- famosos-10-detenidos/ [consultado el 23/08/2021 a las 9:15 horas]

“Gestores de Contraseñas: qué son, cuáles son los más importantes y cómo utilizarlos” https://www.xataka.com/basics/gestores- contrasenas-que-cuales-populares-como-utilizarlos

“¿Qué es el SIM Swapping y cómo puede afectarte?” https://computerhoy.com/reportajes/tecnologia/sim-swapping-que-es-737405 [consultado el 23/08/2021 a las 9:55 horas]

“¿Qué es una aplicación de autenticación?” https://support.kraken.com/hc/es/articles/360000444903--Qu%C3%A9-es-una- aplicaci%C3%B3n-de-autenticaci%C3%B3n-

#:~:text=Una%20aplicaci%C3%B3n%20de%20autenticaci%C3%B3n%20generalmente,cuenta%2C%20o%20como%20 Master%20Key. [consultado el 23/08/2021 a las 17:09 horas]

“Qué es y qué puedes hacer para evitar el 'SIM swapping', el ciberataque que causa estragos y que permite vaciar cuentas bancarias”

https://www.xataka.com/moviles/que-que-puedes-hacer-para-evitar-sim-swapping-ciberataque-que-causa-estragos-que- permite-vaciar-cuentas-bancarias-1 [consultado el 23/08/2021 a las 12:21 horas]

“¿Qué son las llaves U2F y cómo protegen nuestra seguridad?” https://www.redeszone.net/2017/11/30/doble-autenticacion-u2f/

[consultado el 23/08/2021 a las 17:14 horas]

“SIM hijackers arrested after stealing millions from US celebrities” https://www.bleepingcomputer.com/news/security/sim- hijackers-arrested-after-stealing-millions-from-us-celebrities/ [consultado el 23/08/2021 a las 8:05 horas]

“SIM swapping: el timo del duplicado de SIM” https://www.ocu.org/tecnologia/telefono/consejos/sim-swapping-timo-duplicado-sim [consultado el 23/08/2021 a las 12:46 horas]

“SIM swapping: qué es y cómo funciona este fraude” https://www.welivesecurity.com/la-es/2020/03/30/que-es-sim-swapping-como- funciona/ [consultado el 23/08/2021 a las 15:24 horas]

“SIM swapping ¿Qué es y cómo evitar este ciberataque?” https://protecciondatos-lopd.com/empresas/sim-swapping/ [consultado el 23/08/2021 a las 15:31 horas]

“Ten hacekers arrested for string of SIM-Swapping attacks against celebrities” https://www.europol.europa.eu/newsroom/news/ten- hackers-arrested-for-string-of-sim-swapping-attacks-against-celebrities [consultado el 23/08/2021 a las 8:13 horas]

Referencias

Descargar ahora ( PDF - 6 página - 640.81 KB )

Documento similar

UNA EUROPA A LA MEDIDA DE JAPÓN: UN ESTUDIO SOBRE LA CONSTRUCCIÓN DEL DISCURSO JESUITA EN LA MISIÓN JAPONESA DURANTE LA SEGUNDA MITAD DEL SIGLO XVI

Para ello, trabajaremos con una colección de cartas redactadas desde allí, impresa en Évora en 1598 y otros documentos jesuitas: el Sumario de las cosas de Japón (1583),

SOBRE LA TUMBA DE COSTAA LA MAS CLARA MEMORIA DE UN ESPIRITU SINCERO

Entre nosotros anda un escritor de cosas de filología, paisano de Costa, que no deja de tener ingenio y garbo; pero cuyas obras tienen de todo menos de ciencia, y aun

La Memoria de Actividades 2015 ya está disponible en la web del Ivie

Sanz (Universidad Carlos III-IUNE): "El papel de las fuentes de datos en los ranking nacionales de universidades".. Reuniones científicas 75 Los días 12 y 13 de noviembre

La Memoria de Actividades 2015 ya está disponible en la web del Ivie

(Banco de España) Mancebo, Pascual (U. de Alicante) Marco, Mariluz (U. de València) Marhuenda, Francisco (U. de Alicante) Marhuenda, Joaquín (U. de Alicante) Marquerie,

Formato pdf

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

Estructura Proyecto

En cada antecedente debe considerarse como mínimo: Autor, Nombre de la Investigación, año de la investigación, objetivo, metodología de la investigación,

Una lectura, un desplazamiento

En conclusión, a partir de este acabado recorrido por las ideas centrales expuestas, el autor busca mostrar cómo para pensar en términos de la descolonialidad del poder es

A PROPÓSITO DE «LA TESIS

Desde esa concepción, el Derecho es considerado como algo que puede ser completamente objetivado y observado sin ningún tipo de parti- cipación (puede ser casi «fotografiado»).