El llamado 'SIM swapping', o 'intercambio de SIM' es uno de los ataques que más popularidad está ganando entre los hackers en España, con campañas que afectaron a aplicaciones como WhatsApp en plena Navidad.
Esta técnica se aprovecha de la importancia que tiene nuestro número de teléfono para identificarnos en cuentas de todo tipo de servicios; especialmente las que usan la autenticación en dos pasos, normalmente con el envío de un mensaje SMS. Redes como Twitter o Instagram se han unido para evitar este tipo de ataques.
El fraude se basa en el proceso de cambio de tarjeta SIM asociada a una cuenta. Por ejemplo, si cambiamos de teléfono móvil, ya sea porque se nos ha perdido o porque hemos comprado uno nuevo, tendremos que migrar nuestras cuentas. La mayoría de servicios tienen métodos para realizar esta migración, pero el usuario puede ser engañado para realizarla en contra de su voluntad.
Hackers de famosos
El día de hoy, Europol ha anunciado el arresto de diez hackers que usaban la técnica del 'SIM swapping' para conseguir acceso a los móviles de personalidades famosas y sus cuentas, algo que aprovecharon para obtener criptomonedas.
La investigación ha durado un año, coordinada por Europol en colaboración con autoridades del Reino Unido, Estados Unidos, Canadá, Bélgica y Malta; de estos dos últimos países fueron los dos primeros arrestos, y el pasado 9 de febrero se realizaron los ocho restantes.
Los arrestados son sospechosos de formar parte de una red mundial de hackers, especializada en realizar ataques a miles de víctimas a lo largo del 2020; entre estas, se encuentran personalidades famosas en Internet, como influencers, además de estrellas del deporte, músicos, y sus familias.
Acceso al móvil
Estas personas otorgaron acceso a los atacantes sin darse cuenta, como parte de un ataque coordinado para ganar acceso a los números de teléfono de las víctimas; a continuación, usaron eso para tomar el control de las apps y cuentas que usaban, cambiando las contraseñas para que no pudiesen volver a entrar.
Una vez con acceso a estos servicios, los atacantes podía realizar acciones en nombre de las víctimas, como comprar criptomonedas y transferirlas a sus cuentas personales; también pudieron obtener información personal.
Un aspecto curioso del ataque es que los hackers aprovecharon el acceso a las redes sociales para hacerse pasar por la víctima, publicando mensajes que podría ayudarles a su vez a conseguir nuevos objetivos. Es algo que hemos visto en otros ataques que hackean cuentas conocidas para estafar a gran escala.
Para protegernos contra este tipo de ataques, Europol recomienda los siguientes pasos:
- Mantener actualizado el software de nuestros dispositivos.
- No responder a correos sospechosos, o responder llamadas que soliciten nuestra información personal.
- Limitar la cantidad de información personal que compartimos en Internet.
- Usar autenticación en dos pasos que no use un código de autenticación por SMS.
- Cuando sea posible, no asociar nuestro número de teléfono con cuentas online.
También te puede interesar...
- La evolución del hacker: de 'delincuente' a figura vital para la empresa
- Detienen a uno de los hackers con más datos robados de todo el mundo
- Un "fallo tonto" de unos hackers termina con miles de contraseñas hechas públicas en Google