WhatsApp es el medio de comunicación más utilizado en España cuando se quiere contactar con alguien y no hay prácticamente nadie que no la tenga instalada en su móvil. Debido a ello, la aplicación de mensajería siempre está en el punto de mira de los hackers que, al igual que los códigos QR, la aprovechan para llevar a cabo sus ataques, entre los que se encuentra el SIM swapping.
Si recientemente se volvió viral un mensaje en el que se promocionaba un falso chollo de Lidl, que resultó ser un ataque de phishing; ahora circula por WhatsApp un texto sospechoso: "Acaban de llamarme supuestamente del Ministerio de Salud para la tercera dosis de refuerzo. Tenían todos mis datos: mail, dirección, teléfono, etc. Después me piden que les dé un código que me han mandado por SMS (para hackearme el móvil)".
Un mensaje viral que resulta ser una estafa que se ha detectado en Latinoamérica y que, por el momento, no en España. Aun así, dicho texto está llegando a muchos usuarios de WhatsApp en nuestro país. Con esta estafa, los hackers suplantan la identidad de funcionarios y llaman por teléfono para agendar citas de vacunación para recibir la tercera dosis de la Covid-19. Un engaño que tiene el único objetivo de robar datos personales para realizar ataques como el SIM swapping o la suplantación de cuentas.
SIM swapping: ¿qué es?
El SIM swapping no es una técnica nueva, al contrario. Este método se lleva utilizando mucho tiempo para robar dinero y cuentas de las víctimas. Por ejemplo, así fue como los cibercriminales tomaron el control de la cuenta de Twitter de Jack Dorsey. Pero ¿en qué consiste realmente? Es muy simple, los hackers consiguen convencer a una operadora para que cambie el número de teléfono de una tarjeta SIM por el de la víctima.
"Los cibercriminales utilizan ganchos parecidos al mensaje viral para realizar varios ataques, entre los que se encuentra el SIM swapping. Por ejemplo, si durante esa llamada para la supuesta tercera dosis se dan los datos personales y se facilita una fotocopia del DNI, con esa información los atacantes pueden hacer perfectamente dicho ataque" indica Marc Rivero, analista del equipo de Investigación y Análisis de Kaspersky, a EL ESPAÑOL - Omicrono.
Una vez que el atacante obtiene los datos, simplemente acude a una tienda, engaña a la operadora mostrando información robada y se inventa que ha perdido el móvil y se ha comprado uno nuevo. Todo para lograr que le hagan un duplicado de la tarjeta SIM. Gracias a ello consiguen acceso a los mensajes SMS de la víctima para interceptar aquellos que sirven para verificar el acceso a servicios como WhatsApp, Twitter, Telegram o la aplicación del banco, entre otros.
"Con este ataque pueden realizar absolutamente de todo, desde acceder al banco a redes sociales y aplicaciones que requieran de un código de verificación por SMS. Por ejemplo, cuando el hacker realiza un SIM swapping y consigue acceso al número de teléfono y los datos bancarios; si la víctima tiene el código de verificación usando SMS, es un ataque perfecto para hacerse con todo su dinero", señala Marc Rivero.
¿Cómo se detecta?
Darse cuenta de que se está sufriendo este tipo de ataque es bastante más sencillo de lo que pueda parecer. "Si tu móvil deja de tener cobertura y no puedes operar con la línea de teléfono, es una señal clara de que se ha realizado un SIM swapping de tu tarjeta. Además, si te pasa fuera de casa, de tu lugar de residencia o de vacaciones y no tienes una tienda de la compañía de teléfono cerca para restaurar la línea, el problema es aún mayor", explica Marc Rivero.
El analista asegura que el usuario debería ser capaz de cerciorarse de que si se queda mucho tiempo sin señal en su teléfono es debido a que se está produciendo este ataque. Eso sí, bien es cierto que lo primero que se suele pensar es que o no se tiene cobertura o que el teléfono simplemente no funciona. "La genialidad de este método radica en que el operador que hace el duplicado de la SIM no sabe realmente si la fotocopia del DNI tiene una foto falsa o no, ya que no guardan una fotografía del usuario con la que puedan comprobar que es él realmente", señala.
Una forma de evitar este ataque es acudir rápidamente al proveedor de telefonía cuando el teléfono pierde cobertura para comprobar que esté todo en orden. Rivero también recomienda utilizar aplicaciones propias de los bancos para realizar la autentificación. "Es importante intentar no utilizar el SMS como medio para recibir el código de verificación en ningún caso, ya que es proclive a que lo puedan robar haciendo SIM swapping, y sí aplicaciones de autentificación de terceros como Google Authenticator o el de Microsoft", indica.
Secuestro de cuentas
Lo cierto es que con el mensaje viral sobre la tercera dosis de la vacuna también se puede realizar otro tipo de ataques, como la suplantación de identidad y el secuestro de cuentas sin hacer un duplicado de la tarjeta SIM. "En este caso, los hackers conocen el número de la víctima e intentan activar una cuenta de una red social o aplicación en otro teléfono. Cuando necesitan el código, escriben a la víctima vía WhatsApp haciéndose pasar por la compañía y solicitando la clave", explica Rivero.
Si la víctima proporciona dicho código, los hackers activan la cuenta en otro teléfono. Un método que también involucra phishing, ya que al final el atacante tiene que suplantar la identidad de un servicio concreto "y lo pueden hacer por llamada telefónica -como es el caso-, vía SMS o WhatsApp". Con este ataque pueden robar cualquier cuenta que requiera de un código de un sólo uso, "y si por algún motivo tienen acceso a la cuenta bancaria, ya sea porque los datos se han filtrado o porque la víctima ha caído en alguna estafa anterior, también pueden robar dinero, ya que los bancos envían un mensaje con un código para confirmar transferencias".
En todas estas situaciones se debe tener sentido común. "Si tú vas por la calle y alguien se para delante de ti y te dice que tiene todos tus datos, sospecharías. Si un desconocido te da un caramelo por la calle, no lo vas a coger. En Internet es igual, nadie te va a pedir nada sin motivo y cualquier trámite que realmente requiera tus datos personales te harán personarte en la oficina, incluso con la pandemia", concluye Marc Rivero. Nunca se debe hacer nada, ni dar el código, y ante la duda el analista recomienda buscar en Internet el número oficial del establecimiento del que supuestamente te llaman, y no el que ofrecen los atacantes.
Te puede interesar...
- La 'guerra' entre hackers que acabó borrando miles de discos duros personales
- Cómo saber si te han hackeado el móvil: 5 señales que indican que estás infectado
- Los móviles se convierten en la pieza más débil ante los hackeos empresariales: cómo puedes protegerte
- El FBI ocultó la clave para rescatar a cientos de empresas de los hackers