Los ataques de intercambio de SIM están al alza. ¿Cómo podemos protegernos?
Hace ya tiempo que una simple contraseña no es suficiente para proteger nuestras cuentas online. Las contraseñas pueden adivinarse mediante un ataque de diccionario –que consiste en ir probando diferentes claves hasta dar con la correcta–, pueden filtrarse mediante una vulneración de datos, o incluso nos las pueden sonsacar mediante un ataque de phishing. Por eso, recientemente se están implementando medidas de seguridad extra como la 2FA.
La 2FA, o la autenticación en dos pasos, consiste en añadir un código de seguridad extra para proteger el acceso a nuestras cuentas digitales. Este código suele ser de un solo uso y puede recibirse en el correo electrónico, mediante un mensaje SMS, o a través de una aplicación de autenticación diseñada de forma expresa para eso. Pero los ciberatacantes están encontrando una manera de sortear también esta segunda barrera de seguridad.
El peligro de usar los SMS como sistema de verificación
Quizá por comodidad, son muchas las empresas –entre ellas numerosos bancos– que optan por usar los SMS como sistema de verificación en dos pasos. Al tratar de acceder a nuestra cuenta, recibiremos un mensaje en el celular a los pocos segundos para verificarla. Se trata de un método sencillo y accesible, pero, justo por eso, es uno de los menos recomendables para autenticar en dos pasos nuestro acceso a cuentas online.
Uno de los principales problemas de este método es que hay muchas aplicaciones que tienen acceso a nuestros mensajes SMS. Tanto Facebook como Instagram o WhatsApp pueden leer todos los SMS de nuestro dispositivo, y seguro que todos tenemos instaladas unas cuantas apps más. Si alguna de estas aplicaciones es fraudulenta –por ejemplo algún juego que hayamos descargado–, los hackers podrían usarla para interceptar estos SMS.
Los hackers van incluso más allá con el ‘SIM swapping’
Para hackeos más elaborados, y, sobre todo, para el robo del dinero de las cuentas bancarias, los ciberatacantes están empleando una técnica conocida como ‘SIM swapping’, o ‘intercambio de SIM’. Esta técnica consiste en crear documentos falsos para hacerse pasar por el propietario de una línea telefónica, y solicitar un duplicado de la tarjeta SIM a la compañía de teléfonos. Al activar este duplicado, los hackers pasan a ser propietarios de nuestra línea telefónica.
Después de hacer el intercambio, los hackers tratan de acceder a la cuenta bancaria de la víctima, forzando su contraseña con un ataque de diccionario, o utilizando una contraseña robada anteriormente. Entonces intentan transferir dinero a sus propias cuentas, y confirman la transacción con el código SMS enviado a la tarjeta duplicada. ¡En solo unos minutos pueden vaciar una cuenta bancaria sin que el banco se haga responsable!
¿Cómo protegerse ante los ataques de intercambio de SIM?
Los ataques de intercambio de SIM son especialmente preocupantes porque no está en nuestra mano cambiar el método de verificación empleado por ciertos bancos. Aunque en algunos casos –muy raros– se nos da la opción de utilizar un método de verificación diferente, lo cierto es que son muchos los bancos que continúan empleando los SMS como sistema de verificación 2FA, sin ofrecer a sus usuarios una alternativa más segura.
Pese a esto, sigue habiendo algunas medidas de seguridad que podemos adoptar para proteger nuestras cuentas bancarias frente a estos ciberataques, incluyendo:
- Cifrado de conexión. Se puede instalar una app VPN en el celular para cifrar nuestra conexión. Esto no protegerá los mensajes SMS, pero sí que puede proteger las claves de acceso a la banca online, necesarias para que el ‘SIM swapping’ funcione. También podemos instalar VPN en el router para proteger todos los dispositivos del hogar.
- Uso de apps de verificación. Aunque no es lo más habitual, algunos bancos nos dan la opción de identificarnos usando una app como Google Authenticator o Microsoft Authenticator. Estas aplicaciones son mucho más seguras que un simple mensaje SMS, y además pueden estar protegidas mediante identificación biométrica.
- Uso de múltiples cuentas bancarias. También es ideal contar con diferentes cuentas bancarias para que al menos una de ellas quede desvinculada de nuestras operaciones habituales. Esta cuenta no quedará registrada más que en el banco, así que a los hackers les resultará difícil identificarla y hackearla.
- Cambio de banco. En última instancia podemos cambiar de banco para usar los servicios de una entidad que sí que nos ofrezca medidas de ciberseguridad adecuadas para el siglo XXI. Un banco que continúa sin darnos la opción de identificarse adecuadamente no está preparado para las amenazas digitales de nuestro tiempo.
Debemos recordar además que el ‘SIM swapping’ se realiza en primera instancia porque los hackers disponen de nuestros datos personales, e incluso cuentan con un duplicado de nuestro DNI para identificarse en nuestro nombre y solicitar el cambio de SIM. Y suelen obtener esta información vulnerando las bases de datos de plataformas online que la almacenan.
Por eso es tan importante que limitemos el número de las plataformas online donde compartimos esta información, ya que una filtración en cualquiera de ellas puede ser fatal. Son cada vez más las plataformas digitales que solicitan nuestros datos personales para ofrecernos sus servicios, ¡pero debemos pensárnoslo dos veces antes de facilitar esta información!