SIM Swapping: qué es el robo de línea de celular

 

Consiste en pedir un nuevo chip a nombre de alguien, lo que de inmediato transfiere la línea a ese nuevo dispositivo; esto permite la validación en redes sociales y otros servicios

21 de abril de 202210:47

Sebastián Davidovsky

PARA LA NACION


El SIM Swapping es el reemplazo del chip asociado a una línea de celular para apoderarse de ese número, y de todos los servicios asociados a élShutterstock - Shutterstock


En los últimos días, varios políticos sufrieron el mismo incidente informático: durante unas horas o días se quedaron sin línea de teléfono. Su celular les marcaba “solo llamadas de emergencia” y no entendían qué les pasaba. El primero en sufrirlo fue Nicolás Kreplak, ministro de Salud de la Provincia de Buenos Aires a quien una de las primeras advertencias le vino por un posteo en su propia cuenta de Twitter “Todos los que se pusieron la vacuna hoy a las 00 se van a convertir en robots”. Por supuesto, no había sido él el que había escrito ese mensaje.

En rigor, Kreplak le detalló a LA NACION que según pudo averiguar, alguien pidió un chip a su nombre (la SIM que va dentro del teléfono y que vincula al dispositivo con la línea), y que por ello se desactivó la tarjeta SIM que él tenía en su celular; a partir de ello los atacantes pudieron ingresar a su cuenta de Twitter, que tiene una opción para recuperar usuario y contraseña enviando una clave al celular.

SIM SWAPPING: PIDIERON UN CHIP A SU NOMBRE Y LE ROBARON LA LÍNEA DE TELÉFONO Y LAS CUENTAS DE SUS REDES SOCIALES

En un hilo en Twitter, al recuperar su cuenta, explicó: “El miércoles me hackearon mi línea de teléfono y accedieron a las cuentas de redes sociales y correos electrónicos. Twittearon irracionalidades e intentaron descargar toda la información que hoy en día cualquiera tiene en sus mails. Nos movimos rápido y no lo completaron”, señaló el ministro, que tiene como proveedor de telefonía a Movistar.

Pero lejos de ser el único al que le sucedió, esta misma semana vivieron situaciones similares Sabina Frederic, exministra de Seguridad (actualmente en Cancillería), Myriam Bregman, diputada nacional del Frente de Izquierda, y Mara Brawer, diputada del Frente de Todos. Estas últimas dos comentaron su coincidencia el último martes en la comisión que debatía la nueva ley de alquileres en el Congreso.

Frederic se enteró el sábado a la tarde cuando se quedó sin datos fuera de su casa. Una vez conectada a una red Wi-Fi, a las 11 de la noche, se dio cuenta que le habían “usurpado” la cuenta de Twitter. Tenía activado el segundo factor de autenticación, pero con la opción de usar el envío de un código vía SMS a su línea (que ahora estaba en manos de otra persona). Así fue que los atacantes pudieron ingresar. Frederic comunicó con la empresa de telefonía y ahí detectaron el problema. “Sabina, veo que ayer hiciste un cambio de chip…”, le dijeron. Frederic les respondió que no hizo ningún cambio. “Acto seguido me pide que saque el chip y le tome una foto, entonces me responde que se produjo un robo del chip”, describió. Con el acceso a su línea, también encontraron la manera de blanquear la clave e ingresar a su cuenta de mail. “Cuando fui a la oficina comercial de Movistar, me explicaron que habían tenido otros casos”, le detalló a LA NACION. Finalmente, denunció el hecho ante la división Delitos Tecnológicos de la Policía Federal.

A la diputada Mara Brawer le llegó una alerta de Movistar al correo electrónico que le avisaba que habían desactivado su actual tarjeta SIM y que habían activado una nueva. “Me daba la opción de revertir la decisión llamando por teléfono, cosa que hice”, señala. Pero al otro día se quedó sin línea. A partir de ese momento, perdió el acceso a su cuenta de Instagram y de Twitter. La primera la recuperó, pero todavía está luchando para conseguir el acceso a la segunda.

Myriam Bregman, en tanto, explicó en Twitter que la dejaron sin línea por segunda vez en una semana. “Nuevamente me dejaron sin línea telefónica, por segunda vez en una semana. Hay otros intentos de hackeos en nuestras cuentas. Es escandaloso. También lo es que @MovistarArg no haga nada. Una vergüenza. Parece que nuestras denuncias molestan”, manifestó.

Tanto Kreplak como Frederic, Brawer y Bregman confirmaron que tienen activa la verificación de dos pasos en WhatsApp (exige el ingreso de una clave, además del PIN que envía por SMS), lo que evitó que perdieran su identidad en la app de mensajería, lo que hubiera permitido a los atacantes dialogar con sus contactos, hacerse pasar por ellos (usualmente para pedir dinero).

Qué es el SIM Swapping

Lo que le pasó a los políticos se conoce como SIM Swapping (cambio de SIM, en inglés). Los atacantes compran un chip a nombre de la víctima, acreditando de alguna forma ser los titulares de esa línea. Al activar el nuevo SIM, desactivan el anterior, una acción legítima en el caso de que el celular haya sido extraviado o robado, o la SIM original haya sufrido algún desperfecto.

Al transferir la línea a la nueva SIM reciben todos los llamados y los SMS; así pueden utilizar esa línea capturada para recibir los mensajes de verificación que se usan para redes sociales, WhatsApp, algunas cuentas de mail o incluso bancos cuando se opera a través de Internet. Con esa verificación vía mensaje de texto y habiéndose apoderado de la línea, tienen todo para demostrar ser los dueños de esa cuenta online.

Por eso lo ideal es no usar un SMS enviado al celular como método para recuperar contraseñas o como segundo factor de autenticación. En su lugar es preferible usar apps como Google Authenticator, que brindan códigos dentro de la aplicación para acreditar identidad en caso de iniciar sesión, o activar el ingreso de una segunda clave que solo esté en nuestra memoria, como es lo que ofrece WhatsApp. En caso de quedarnos sin línea de celulares, es importante verificar lo antes posible con la operadora si se trata de un problema técnico o si fuimos víctimas de este tipo de ataques (es decir, si alguien pidió un recambio de SIM a nuestro nombre).

La respuesta de Movistar

En estos cuatro casos se trata de la misma compañía afectada: fue Movistar la que aceptó el pedido de cambio de SIM de una línea por parte de personas que no eran sus titulares. Al respecto, desde la compañía señalaron que cuentan con “con procesos de validación y autenticación de identidad de todas las personas usuarias de nuestro servicio, que son revisados constantemente con las empresas especialistas de la industria de seguridad de datos”. Pero explicaron que “cuando esta información llega a personas malintencionadas, a través de phishing de datos, una práctica ajena a la compañía, puede darse la usurpación de identidad”. Y argumentaron que “trabajamos a diario con la atención puesta en mantener actualizadas las herramientas de prevención que ayudan a evitar este tipo de estafas”.

Sebastián Davidovsky

Comentarios

Publicar un comentario

Entradas populares de este blog

PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS

Imagen
  PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS Los ataques contra cajeros automáticos en la calle han evolucionado a grandes pasos, dejando atrás los métodos de compromiso físico de estas máquinas para llegar a los ataques empleando tecnología y avanzadas capacidades de hacking. Los análisis más recientes sugieren que el método más sofisticado actualmente es conocido como “Black Box”, basado en el uso de una microcomputadora con una placa única. En esta ocasión, los especialistas en  concientización de ciberseguridad  del Instituto Internacional de Seguridad Cibernética  (IICS)  le mostrarán las características más importantes de estos ataques, que podrían generar pérdidas millonarias a las instituciones bancarias. Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a la información aq...
Leer más

Dictaminan que Facebook Argentina es sujeto obligado por la ley de datos personales en el marco de una acción de habeas data

Imagen
  El procurador fiscal ante la Corte Suprema de Justicia de la Nación Víctor Abramovich dictaminó en un caso en que se había condenado a Facebook Argentina SRL a develar datos del usuario que había creado la publicación bajo análisis. En su dictamen, Abramovich opinó que correspondía hacer lugar parcialmente al recurso extraordinario presentado por la demandada y que se debía revocar la sentencia apelada. En la causa, se hace foco en la aplicación de la ley de datos personales, la legitimación pasiva de la filial local de la empresa en el marco de una acción de habeas data y las reglas constitucionales que rigen el anonimato como forma de participación en asuntos de interés público. La Sala II de la Cámara Federal de Apelaciones de La Plata modificó, en el marco del caso “Quinteros, Héctor Andrés c/ Facebook Argentina SRL s/ amparo ley 16986”, la sentencia de la instancia anterior y revocó la condena a Facebook Argentina SRL, en donde se había ordenado la eliminación de la ima...
Leer más

Suplantación de identidad: condenaron al Banco Provincia

Imagen
  Suplantación de identidad: condenaron al Banco Provincia a pagar más de $1.000.000 por daño material y punitivo Fue a raíz de que un cliente desconociera una serie de operaciones realizadas desde su cuenta. El juez Carlos Catoggio, a cargo del Juzgado Civil y Comercial N°25 de La Plata, consideró que hubo una desatención por parte de la entidad bancaria porque no desplegó medidas de seguridad adecuadas a fin de evitarlo. El juez  Carlos José Catoggio , a cargo del   Juzgado Civil y Comercial Nº 25 de La Plata , hizo lugar a una demanda por  nulidad de contrato y daños y perjuicios , promovida contra el  Banco Provincia , y le ordenó a la entidad a abonarle a un cliente una suma de  $92.717,25 por daño material  y de  $1.000.000 por daño punitivo .  En el caso, la parte actora detalló una serie de  operaciones de crédito y transferencias  realizadas desde su  cuenta bancaria de las que nunca participó . En su presentación...
Leer más