En los últimos días hemos visto una aumento en las noticias de fraudes relacionados con el 'SIM swapping', la más reciente fue la del robo de cinco millones de dólares en bitcoins, tentativamente efectuado por un joven de 20 años. Hoy, por primera vez, se está buscando atacar el problema de raíz a través de una demanda en contra de la operadora AT&T, quien supuestamente permite el secuestro de SIM cards para realizar este tipo de fraudes.
El 'SIM swapping', también conocido como 'intercambio de SIM', 'secuestro de SIM' o 'port out scam', consiste en engañar a la operadora para que transfieran el número de teléfono de una persona, el blanco del fraude, a una tarjeta SIM controlada por otra persona, el atacante en este caso.
"Las operadoras se han vuelto el eslabón más débil de la cadena"
El 'SIM swapping' se ha vuelto una práctica en aumento que ha provocado, por ejemplo, que la autenticación de dos pasos (2FA) basada en SMS sea ahora mismo el sistema de protección más débil ante el peligro de intercepción de estos mensajes de texto. Aquí podemos destacar el reciente caso del hackeo a Reddit, donde se uso este método, o el ejemplo de Google, quien exige que sus empleados usen llaves de seguridad físicas en lugar de SMS para 2FA.
Michael Terpin, inversor de criptomonedas y fundador de Transform Group y BitAngels, presentó una demanda en contra de AT&T después de que le robarán en dos ocasiones su número de teléfono, lo que resultó en el robo de 24 millones de dólares en bitcoins. Terpin está exigiendo una compensación de 224 millones de dólares por daños y perjuicios.
Terpin argumenta que AT&T no hizo lo suficiente para proteger su número de teléfono, esto a pesar de que la compañía sabía que los delincuentes están centrando sus ataques precisamente en inversores de criptomonedas robando sus números telefónicos usando 'SIM swapping'.
De acuerdo a la demanda, el número telefónico de Tarpin fue robado en dos ocasiones diferentes, el primero el 11 de junio de 2017 y el segundo el 7 de enero de 2018. Según el inversor, el primer robo lo llevó a perder 24 millones de dólares, ante esto, AT&T le habría asegurado que lo habían movido a un "nivel de seguridad superior" con "protección especial". Pero seis meses después su número fue secuestrado nuevamente.
"Lo que hizo AT&T fue como si un hotel le diera a un ladrón con una identificación falsa la llave de la habitación y el acceso a la caja fuerte para robar las joyas del legítimo dueño. AT&T no está haciendo nada para proteger a sus casi 140 millones de clientes del fraude relacionado con SIM cards. Por lo tanto, AT&T es directamente culpable de estos ataques porque es consciente de que sus clientes están sujetos al fraude de intercambio SIM y que sus medidas de seguridad son ineficaces. AT&T no está haciendo prácticamente nada para proteger a sus clientes contra este fraude porque se ha vuelto demasiado grande para que les importe."
Ante esto, AT&T declaró que se enfrentarán a estas acusaciones presentando sus propios argumentos en tribunales. Aunque hay abogados que aseguran que es poco probable que el caso vaya a juicio, ya que se trata más de algo relacionado con regulación y legislación.
Estaremos pendientes ante cualquier novedad.
En Xataka | Proteger tus cuentas con autenticación en dos pasos es una gran idea: hacerlo con SMS no tanto
Ver 9 comentarios
9 comentarios
BlackHat
Mejor será que ya vayan poniendo tokens físicos (o digitales offline) a los teléfonos, ahora que lo pienso era una ventaja antes en mi país No se asociaba tu chip a tu número de identificación por lo tanto si perdías el chip o alguien sabía el número no podía duplicarlo porque no se asociaba nada ahora que para el uso del 911 se ha hecho esto Ahora estoy más preocupado.
Pienso que se debería poner más medidas de verificación a la hora de hacer cambios a tu número. (Los entendidos por favor ilustrenme porque no sé mucho del tema).
La pregunta que siempre me hago como no le pasan estas cosas a Bills Gates u otras grandes?nutilizan otros tipos de verificación a otro nivel?.
Land-of-Mordor
"...En los últimos días hemos visto una aumento en las noticias de fraudes relacionados con el 'SIM swapping', la más reciente fue la del robo de cinco millones de dólares en bitcoins, tentativamente efectuado por un joven de 20 años..."
En español bien traducido el término es "presuntamente". "Tentativamente" indicaría que se ha intentado y no se ha llevado a cabo.
Usuario desactivado
Los conspiranoicos diran que es un complot orquestado por google para vender su usb de autentificacion; la cual diran tiene un backdoor para la nsa y otras agencias.
manuelcr
No sé, seré yo, pero lo preocupante es que alguien con 24M$ en Bitcoin, confíe la seguridad de ese dinero a recibir un SMS en su móvil.
Si no es que te roben la SIM, es que te roben el móvil y te desplumen.
mszerox
Ahora que también hay casos de robos de cuentas en Instagram con esa modalidad AT&T va a sufrir bastante pero a la par esto es un golpe brutal a la tecnología GSM que la tildaran de insegura y querrán que el CDMA regrese con todo porque en ese caso era una linea que se asociaba al equipo en cuestión.
Aunque eso implique otro problema y es el robo de equipos y literalmente se vuelve esto un círculo vicioso en el cual el usuario sale perdiendo.
eslax
Nunca me ha entrado en la cabeza como es tan sumamente fácil portar un número de teléfono sin ningún tipo de acreditación, solo con el nº impreso en la tarjeta sim y un nº de confirmación por SMS. Teniendo en la actualidad una importancia brutal nuestro nº de teléfono, y sabiendo que una app maliciosa de Android podría leer nuestros SMS y los datos de la tarjeta, que menos que autenticar las portabilidades (p.ej., obligando a personarse físicamente con el DNI en una tienda del operador antiguo o nuevo para autorizar la portabilidad).
Otro tema es que puedan redirigir tu número a otro del atacante, o suplantarte, simplemente llamando a at. al cliente y dando tu NIF, cuando el NIF no es privado, cualquier autónomo lo indica en sus facturas y cualquier cliente de estos podría suplantar su identidad fácilmente.
Y ya desde hace años que descubrí que podía portar mi número de teléfono por internet, siempre me inspiró poca confianza el proceso. Supongo que el SIM swapping sea ya algo viejo que nunca se solucionó y que ahora es más peligroso que nunca. Las operadoras no deberían dar tantas facilidades para hacer movimientos con nuestros nº de teléfono.
josecorral
Sirve de algo el PIN que uno tiene como opción ponerle a la SIM card??? se supone que las operadores deberían preguntar por eso antes de hacer cualquier cambio.
gerardobeltranpacheco
Esto es muy facil de hacer, robar el numero de telefono, de echo aqui en mexico deberíamos de preocuparnos por que puede empezar a suceder. No lo han echo por que se necesita un acceso a la red del operador, pero de que se puede se puede. Lo preocupante de esto es que conociendo a la victima, robandole su identidad, se pueden hacer muchas cosas mundanas