Image
Comunidades de SIM Swapping

Comunidades de SIM Swapping

¡Hola, lectores!

En esta nueva entrada del blog se hará referencia a una ciberamenaza medianamente desconocida y que desde hace tiempo afecta a una multitud de individuos: las comunidades cibercriminales de intercambio de SIM o de SIM Swapping, siendo más frecuentemente conocidas por esta segunda nomenclatura según su homónimo en inglés.

El SIM Swapping es una ciberamenaza que afecta predominantemente a usuarios finales de dispositivos móviles, constituyendo una forma de fraude mediante la cual un ciberdelincuente trata de obtener un duplicado de la tarjeta SIM asociada a la línea telefónica de un individuo efectuando actividades de suplantación y que posteriormente le permiten sustraer el capital económico disponible en su aplicación móvil de banca online, entre otras posibilidades.

Para que se produzca una campaña de SIM Swapping exitosa, como ocurriría con cualquier ciberataque moderadamente sofisticado, deben acontecer varias etapas que a continuación se señalan:

  • En primer lugar, el ciberdelincuente recopila información de la víctima potencial a la que se dirigirá la acción de defraudación. Para conseguirlo se puede utilizar información procedente de fuentes abiertas y, muy especialmente, de las redes sociales que posea el individuo. A partir de ellas pueden recopilarse toda clase de datos que permitirán elaborar una estafa creíble con la que comenzar la campaña, desde sus nombres y apellidos, pasando por su número de teléfono, la compañía telefónica de pertenencia (para ello se puede hacer uso de distintas herramientas de verificación en línea), lugar de residencia, información sobre familiares y amigos, etcétera.
  • Antes de pasar a la fase siguiente, el atacante debe complementar la operación de SIM Swapping con otra serie de acciones en caso de que desee acceder a servicios en los que se utilicen credenciales, ya que lo que permite el intercambio de SIM es obtener los códigos que habitualmente se utilizan como segundo factor de autenticación. Para ello, previamente deben obtenerse las credenciales del servicio que resulta de interés para el atacante, para lo cual se pueden efectuar actividades complementarias de phishing, pharming o spoofing, tratando de que sea el usuario quien le proporcione los datos necesarios para continuar el compromiso.
  • En siguiente lugar, el ciberdelincuente realiza una llamada al proveedor telefónico del individuo al que intenta defraudar en la que se hace pasar por el propietario de la tarjeta SIM que se pretende duplicar, utilizando tácticas de ingeniería social para conseguir que la compañía proporcione el duplicado al atacante, esgrimiendo para ello distintos señuelos como pérdida o sustracción de la tarjeta SIM. Incluso, se ha observado que los ciberdelincuentes que llevan a cabo esta clase de actividades de defraudación y suplantación a menudo se presentan en alguna sede de la compañía telefónica de pertenencia del usuario portando denuncias falsas en las que refieren la sustracción de su teléfono móvil y una fotocopia falsa del DNI del propietario. Teniendo en cuenta que por lo general los proveedores telefónicos utilizan métodos de comprobación de identidad laxos basados en preguntas personales, resulta relativamente sencillo que un tercero malintencionado pueda obtener el duplicado de la tarjeta SIM.
  • Por lo general, cuando se produce el duplicado de la SIM y la segunda tarjeta es activada, la que estaba siendo legítimamente utilizada por el usuario se desactiva y el dispositivo móvil, por tanto, queda sin cobertura, lo que permitiría que un tercero malintencionado obtuviese el control sobre el número de teléfono duplicado. En un pequeño porcentaje de las situaciones el atacante solicita la activación de un servicio multiSIM, en cuyo caso funcionarían tanto la tarjeta del atacante como la que estuviese siendo empleada por su legítimo dueño, tornando mucho más difícil la detección y subsanación de la suplantación de identidad, si bien esta modalidad requiere de tácticas de engaño perfeccionadas. En cualquier caso, una vez el atacante obtiene el duplicado de la tarjeta SIM, se le proporciona la capacidad de acceder a la línea móvil de la víctima de la estafa, de realizar llamadas o enviar mensajes en su nombre, recibir comunicaciones que estuviesen destinadas al individuo suplantado y recibir códigos de autenticación en dos factores (2FA), entre otras posibilidades. Por tanto, un posible actor de amenazas podría obtener acceso a una gran variedad de información sensible o confidencial.
  • En último lugar, el atacante efectúa toda clase de estafas y defraudaciones que afectan al individuo que está siendo víctima de la suplantación, generalmente desde el momento en que el usuario legítimo pierde la cobertura de su línea telefónica, siendo común que los ciberdelincuentes especializados en la realización de campañas de esta índole se centren en la consecución de accesos a los servicios de banca en línea del usuario y, posteriormente, realicen transferencias a cuentas que les pertenecen. De este modo, les son transferidos los fondos disponibles en la cuenta del individuo suplantado o incluso se contratan préstamos a su nombre sin su autorización real. Para conseguir que el procedimiento anterior concluya con éxito los atacantes solicitan el envío de una contraseña de uso único (código OTP) mediante mensajería SMS y que habitualmente es empleada por las entidades financieras como doble factor de autenticación. Al tener acceso a la tarjeta SIM duplicada, los atacantes pueden visualizar dicho mensaje, que en teoría solamente debería ser transmitido al titular de la línea, utilizándolo así en su propio beneficio, esto es, para acceder a la cuenta bancaria del individuo. Entre otras posibilidades, también es común que el ciberataque de SIM Swapping concluya con la obtención de las credenciales de acceso a la cuenta de correo electrónico del usuario o a las que corresponden con sus perfiles en redes sociales.

Aunque pueda parecer a priori complicado que llegue a producirse un ciberataque de estas características, al requerirse de fases preparatorias y de planificación previas y sofisticadas, se han dado multitud de casos de individuos que han observado cómo el saldo de sus cuentas bancarias quedaba a 0 tras convertirse en víctimas de una campaña de este tipo. En los primeros días del mes de agosto de 2022, por ejemplo, la Policía Nacional detuvo en España a un joven de 20 años que había obtenido hasta 72000 euros perpetrando campañas de ciberataques relacionadas con esta tipología de ciberamenazas. Incluso, en el año 2019 varios ciberdelincuentes obtuvieron acceso al perfil en Twitter del cofundador y CEO de la plataforma, Jack Dorsey, empleando técnicas de SIM Swapping durante el proceso, el cual fue posteriormente utilizado para divulgar mensajes de contenido racista y vejatorio. Más recientemente, durante el mes de abril del año 2022, en Argentina las ciberamenazas de SIM Swapping llegaron a afectar a personajes del ámbito público como Nicolás Kreplak, ministro de Salud de la Provincia de Buenos Aires; Sabina Frederic, exministra de Seguridad en la nación; Myriam Bregman, diputada nacional del Frente de Izquierda; y Mara Brawer, diputada del Frente de Todos. Estos hechos ponen de manifiesto, por tanto, que las actividades de SIM Swapping podrían incluso llegar a afectar al camino de la política, pudiendo darse a conocer mensajes contradictorios con las directrices de un determinado movimiento político y socavando la confianza en los partidos y en los procesos electorales.

Teniendo en cuenta la sencillez con la que se lleva a cabo esta tipología de ciberamenazas y su alta probabilidad de éxito, se ha observado que actores cibercriminales sofisticados están comenzando a incorporar técnicas de SIM Swapping en sus campañas. En relación con esto, ha resultado notorio el actor de amenazas LAPSUS$, quien al menos desde el mes de marzo del año en curso está utilizando tácticas de ingeniería social basadas en actividades de SIM Swapping para obtener acceso a cuentas de correo electrónico personales y corporativas de usuarios empleados por organizaciones a las que pretenden comprometer y, posteriormente, extorsionar. En este sentido, el actor LAPSUS$ llegó a comprometer en el mes de abril de 2022 a la compañía telefónica T-Mobile, logrando acceso a las herramientas internas de la compañía e incluso al software que se utiliza en el seno de la entidad para validar intercambios de SIM. Por suerte, varias divergencias internas entre los integrantes del grupo y la rápida respuesta de T-Mobile, que exigió verificaciones adicionales antes de aceptar cualquier intercambio de SIM a individuos de alto perfil, permitieron que el ciberataque no produjese un impacto mayor, pues los miembros de LAPSUS$ se debatían entre utilizar el software para obtener un lucro económico elevado y rápido mediante la ejecución de estafas y emplearlo para propiciar un ciberataque exitoso que afectase al FBI y al Departamento de Defensa estadounidense.

Por otro lado, más recientemente se ha detectado una oleada de violencia física en la que distintos actores desorganizados de la comunidad de SIM Swapping se enfrentan e intimidan mutuamente con la finalidad de neutralizar a aquellos rivales que pudiesen estar suponiendo competencia para ellos al operar dentro del mismo escenario. De hecho, el pasado mes de septiembre uno de los miembros de una comunidad de SIM Swapping conocido como “Foreshadow” fue secuestrado y agredido por otro grupo rival que les exigía una suma de alrededor de 200000 dólares a cambio de liberar al individuo con vida. Si algo está claro, es que los actores de SIM Swapping no parecen estar dispuestos a perder la capacidad de lucro que les proporciona esta modalidad delictiva, siendo capaces de adoptar comportamientos criminales más habitualmente relacionados con la mafia que con la ciberdelincuencia.

Para finalizar, de acuerdo con lo anteriormente expuesto, las actividades de SIM Swapping afectan mayoritariamente a usuarios finales individuales propietarios de dispositivos móviles, si bien se han comenzado a observar las primeras trazas de actividad dirigidas hacia entornos empresariales. Esta circunstancia evidencia el éxito que está alcanzando en el presente esta tipología de ciberamenazas, pues están comenzando a ser utilizadas en campañas avanzadas propiciadas por actores de amenazas sofisticados que se dirigen a objetivos mayores y cuyo impacto, por tanto, indudablemente será mayor. Incluso, al igual que ya ocurrió en Argentina, no ponerles remedio a las estafas de SIM Swapping podría derivar en que organizaciones de renombre o incluso entidades gubernamentales viesen socavada su reputación al divulgarse mensajes y publicaciones no avaladas legítimamente por ellas, circunstancia que evidencia que un ciberataque de este tipo podría afectar incluso a la opinión pública sobre cuestiones de elevada relevancia social.

Con la finalidad de combatir el auge del SIM Swapping, que desde el comienzo del año 2022 se encuentra al alza, se han impuesto multitud de medidas a nivel nacional e internacional. Por ejemplo, a nivel nacional la AEPD (Agencia Española de Protección de Datos) ha incrementado las multas a los principales proveedores telefónicos de la nación, como Vodafone, Orange o Telefónica, con sanciones elevadas que oscilan entre los 70000 euros y los 4 millones de euros en caso de que éstos infrinjan la política de protección de datos actualmente vigente en el país y siempre que la negligencia derive en la comisión exitosa de un ciberataque de esta tipología. En este sentido, durante el pasado mes de abril la AEPD impuso la mayor multa en estos términos conocida hasta la fecha, 3,94 millones de euros de sanción a Vodafone por no proteger adecuadamente los datos de sus clientes frente a las estafas de SIM Swapping.

A nivel individual, al igual que ocurre con otras tipologías y formas de ciberdelincuencia, resulta recomendable concienciarse acerca de la sensibilidad de la información circundante a cada persona como primera medida de protección frente a las estafas de SIM Swapping, ya que el ser humano es siempre el eslabón más frágil dentro de la cadena de seguridad. En este sentido, es preciso no facilitar datos personales y/o confidenciales a ningún tercero que pudiese ser objeto de sospecha, tales como emisores de llamadas, mensajes de correo o SMS desconocidos y que exijan conocer determinados datos con premura. Tampoco se debe introducir información de valor en el navegador cuando se estén utilizando redes WiFi públicas, pues los datos que circulen a través de ellas podrían ser interceptados por terceros malintencionados. Además, para evitar que cualquier individuo pueda convertirse en el blanco de un ciberataque, resulta recomendable restringir el acceso a las redes sociales que se posean, de modo que solamente los allegados tengan acceso tanto a lo que se publique como a la información personal del usuario.

Un indicio importante que podría alertar sobre la posibilidad de haberse convertido en víctima de una estafa de SIM Swapping consistiría en detectar si el dispositivo móvil ha perdido toda señal y cobertura sin que este problema responda a una razón plausible y lógica. En ese caso, resulta altamente recomendable contactar lo más pronto posible con el proveedor de telefonía móvil de pertenencia y notificar el error, con la finalidad de identificar de manera temprana el motivo del fallo. Si se corroborase la ejecución exitosa de un ciberataque de SIM Swapping, es decir, en caso de que se hubiese obtenido por parte de un ciberatacante el duplicado de una tarjeta SIM del propietario de una línea móvil y éste hubiese sido activado, es preciso modificar inmediatamente las credenciales de acceso a los servicios que posea el usuario, especialmente a recursos de banca en línea, correo electrónico y redes sociales, y denunciar ante las autoridades correspondientes la suplantación de identidad y el duplicado de la tarjeta SIM, con la finalidad de que ésta sea bloqueada en cuanto sea posible y se investigue cualquier operación no autorizada.

¡Y hasta aquí el artículo sobre el SIM Swapping! ¿Qué os ha parecido? ¿Conocíais este tipo de ciberamenaza?

No dudéis en compartirlo para que sea de utilidad a más personas.

¡Nos vemos pronto! :)