El “cambiazo de SIM” y por qué el SMS no es el 2FA perfecto
La técnica del “cambiazo de SIM” golpea de nuevo en España y otros países de Europa. Aprenda cómo puede prevenir este tipo de ataques siguiendo unos simples pasos
El Sistema de Mensaje Cortos, SMS por sus siglas en inglés, ha existido durante años. Básicamente cualquier móvil en funcionamiento respalda este tipo de comunicación por texto a través del Sistema Global de Comunicaciones (en inglés, GSM). Con sus inicios en 1992, cuando el primer SMS enviado a través de GSM tan solo decía “Feliz Navidad” hasta la actual era de 4G y 5G, los anticuados mensajes de texto han resistido la prueba del tiempo. Después de todo, cuando todo lo demás falla, simplemente enviamos un mensaje de texto, ¿cierto?
El SMS es un recurso útil cada vez que no hay conexión a Internet. Le impresionará saber cuán práctico puede ser un pequeño mensaje de texto en algunas situaciones. Pero, ¿qué pasa cuando este medio de comunicación se convierte en la vulnerabilidad que los hackers necesitan para acceder a su información personal?
SMS como 2FA
Hace años, cuando las compañías comenzaron a darse cuenta de lo importante que era verificar la ID de un usuario a distancia la idea de un mecanismo de autenticación de dos factores (2FA) empezó a extenderse. Sin embargo, existen muchas maneras de implementar el 2FA:
- Factor de conocimiento. Es el caso de las contraseñas y otros datos que sólo el usuario sabe. Es vulnerable a filtraciones desde las bases de datos.
- Factor físico. Algo que el usuario tiene, como su móvil u otro dispositivo.
- Otros. Factor inherente (biométrico), la localización, una combinación de factores, etc.
Así, una simple manera de verificar la identidad de alguien es comprobando que esa persona tiene acceso al número de teléfono registrado. El proveedor del servicio puede verificar la ID a través de una llamada, pero esta alternativa lleva demasiado tiempo y recursos humanos/técnicos. Hay una alternativa más simple: enviar un código de único uso al número de teléfono en forma de un SMS.
Luego, el usuario introduce esta clave temporal además de sus credenciales para iniciar sesión. La razón principal de por qué las compañías online han confiado en el SMS como mecanismo 2FA por mucho tiempo es el desarrollo y la implementación competitivos. Pero esta opción puede venir a llegar a su fin debido a sus vulnerabilidades asociadas.
Técnica del “SIM swapping” o “cambiazo de SIM”
Aunque cueste creerlo, no es tan difícil obtener una copia de la tarjeta SIM de otra persona y son muchos los casos actuales de víctimas que han sufrido este tipo de estafa. Algunas compañías de telecomunicaciones, o, más bien, algunos empleados que trabajan en esas compañías, pueden saltarse ciertos pasos de verificación alguna veces cuando un cliente solicita un duplicado.
Estos errores en el proceso de duplicación, entre el pedido hasta la entrega de la tarjeta SIM física, son de conocimiento general de los estafadores ya que saben que el alto volumen de clientes en los operadores de servicio móvil da lugar a errores humanos esporádicos o descuidos en el protocolo.
Además, utilizando métodos de ingeniería social, los estafadores pueden seleccionar personas vulnerables. Resulta que las compañías tienen muchísimos datos delicados de sus usuarios en sus bases de datos, las cuales pueden filtrar información a los hackers. Cada año, esas compañías sufren ataques o surgen brechas de seguridad que causan filtraciones. Entonces, ¿cómo es posible crear una copia de la tarjeta SIM de otra persona?
Para esto necesitará la información básica del usuario, como el nombre completo, número de teléfono, e-mail, y una copia de su documento de identidad. Si lo piensa bien, esta información normalmente es compartida por el usuario cuando contrata el servicio. Por lo tanto, los empleados que trabajan en compañías de telecomunicación y los operadores móviles son los principales sospechosos de estos fraudes y filtraciones.
Hoy en día, podemos contratar servicios online en minutos. Usted también puede solicitar un duplicado de SIM y recibirla en casa. Pero la manera preferida de los hackers es recoger la tarjeta en una tienda para acelerar el proceso. La víctima pierde conexión a la red cuando la nueva tarjeta SIM es activada. En las siguientes horas, el hacker tiene acceso a las cuentas asociadas que están protegidas con SMS como 2FA. ¡Solo tiene que pedir la recuperación de las contraseñas!
Alerta de Cambiazo de SIM
Lógicamente, cada vez que usted pierda acceso a la red, no va a correr a la tienda de telefonía móvil más cercana para pedir una solución. Lo más probable es que usted trate de reiniciar el dispositivo, moverse a otro lugar con cobertura, llamar a servicio al cliente desde otro móvil, etc. La reacción usual de las personas lleva tiempo, justo lo que el criminal necesita.
Aún peor es que puede tener mala suerte con atención al cliente. Ellos podrían pensar que todo está bien ya que no sospecharían que algo “raro” estuviera pasando. Después de todo, pedir una copia de su SIM no es razón para que salten las alarmas en su proveedor de servicio móvil.
La mejor medida que puede tomar la potencial víctima es verificar si algo está fuera de lugar. En primer lugar, abra su bandeja de entrada de e-mail a la que accede desde su dispositivo. Si ve nuevos mensajes de recuperación de contraseña, ¡ha sido hackeado! De no ser así, podrá estar sufriendo de interrupción aleatoria del servicio por su operador pero tampoco está de más consultar si han solicitado un duplicado de SIM no autorizado por Ud.
Es cierto que necesitará acceso a internet para hacer esta comprobación. Podría incluso necesitar otro dispositivo si no cuenta con Wi-Fi. Lamentablemente, el crimen no conoce de horas, Ud. podría estar durmiendo plácidamente cuando esto pase. De este modo, estar al tanto de un corte de servicio no es la solución perfecta para prevenir hackeos. Prevenir es mejor.
Mayor seguridad: 3FA
El próximo paso en autenticación de usuario se basa en verificar tres factores al mismo tiempo (3FA): conocimiento, posesión e inherencia. BidiPass ofrece este nivel de seguridad con su aplicación sin perturbar la experiencia de usuario (UX en inglés). Tendrá que iniciar sesión con su clave en cualquier servicio para después recibir una notificación en nuestra app, y luego aprueba los factores de verificación biométricos para iniciar sesión (escaneo de huella digital o reconocimiento facial). ¡Fácil!
Creemos que el mecanismo 3FA es la mejora imprescindible en autenticación de ID que las compañías mundiales necesitan. Por ejemplo, el cambiazo o “SIM swapping” es absolutamente inútil en comparación a los servicios protegidos por BidiPass, ya que, en última instancia, ¡el hacker tendría que validar SUS huellas digitales o SU cara para tener acceso a esos servicios! A no ser que tenga un gemelo malvado — e incluso si ese fuese el caso, de acuerdo con las pruebas de gemelos — ¡Usted estará a salvo!
Algunos buenos hábitos
Desafortunadamente, usted no puede cambiar el mecanismo de seguridad 2FA de los servicios que pueda estar utilizando. Los proveedores deberían actualizar sus medidas de seguridad en cualquier momento. Mientras tanto, puede hacer un esfuerzo para reducir los riesgos:
- No utilice la misma contraseña. Sin duda el error más simple a evitar.
- No utilice el mismo correo/nombre de usuario. Otro error frecuente que los usuarios pueden evitar fácilmente.
- Utilice aplicaciones integradas para acceder a sus servicios. Siempre que estén disponibles, utilizar aplicaciones oficiales con 2FA es mejor, como el caso de su aplicación de su banco.
- Sepa cómo desactivar los servicios. En caso de una hackeo o actividad sospechosa, el tiempo jugará contra usted. Por eso sepa desde ya como hacer un pedido de desactivación de su tarjeta SIM a su proveedor de servicio.
Resumiendo
El SMS ha demostrado ser un medio efectivo de comunicación, una especie de Twitter de los 90’s en su móvil sin emoticones o fotografías. Sin embargo, las estafas basadas en la duplicación de tarjetas SIM ha puesto el mecanismo 2FA basado en SMS en tela de juicio, tal como se demuestra en noticias como ésta, en la cual víctimas declaran que se les sustrajo miles de euros de sendas cuentas bancarias.
A pesar de que las compañías todavía necesitan tiempo para implementar un mayor sistema de seguridad, existe el interés de apostar por ello — como el PSD2 de la Comisión Europea (CE) está haciendo. BidiPass ofrece una infraestructura para proteger con el mecanismo 3FA cualquier servicio online con la ventaja adicional del blockchain de Ethereum como base.
