¿Pueden robar tu tarjeta SIM y suplantar tu identidad? Lo cierto es que existen varios métodos que pueden utilizar para ello. En este artículo vamos a mostrar tres. Eso sí, ten en cuenta que no es algo para nada habitual, al menos en España, y no es sencillo de llevar a cabo. No obstante, siempre conviene conocer qué puede ocurrir y de qué manera estar protegidos para no tener ningún tipo de problema.
Si alguien lograra robar tu tarjeta SIM, podría actuar como si fueras tú. Eso significa que podría llamar en tu nombre, enviar SMS, recibir esos mensajes que incluso pueden contener códigos de seguridad. Por tanto, es un problema importante que conviene evitar. Este tipo de ataques son muy peligrosos, y, de hecho, muchos operadores han sido multados con millones de euros por no poner los controles adecuados para que un ciberdelincuente sea capaz de hacerse con el control de la tarjeta SIM de su víctima, la cual posteriormente se verá gravemente afectada por diferentes ataques.
Métodos para robar una SIM
Igual que podrían robar una cuenta de correo electrónico, red social o cualquier plataforma, podrían tener acceso al robo de tarjeta SIM. No es fácil, como vas a ver, pero sí hay varias alternativas que pueden tener los ciberdelincuentes para lograr el objetivo de robar una tarjeta móvil. Es por esto mismo por lo que muchas veces resulta clave saber cómo actúan, un detalle cada vez más esencial para mantener la seguridad. Por ello, siempre es buena idea saber esta información para no caer en su trampa.
Intercambio de tarjeta o SIM Swapping
Este problema podemos decir que es relativamente común en determinados países. En España, gracias a las medidas de seguridad a la hora de cambiar de operadora, es muy extraño que pueda ocurrir. Sin embargo, a lo largo de los años siempre se dan casos. De ahí que muchas veces puedas encontrar una noticia de que una operadora en concreto ha sido sancionada por este tipo de problema con el que los ciberdelincuentes pueden duplicar una tarjeta SIM de otros clientes. Y todo por tener los datos suficientes como para suplantar la identidad sin que se efectue una buena medida de seguridad.
Por esto mismo, hay bastantes casos en los últimos años, donde ha ocurrido este tipo de ataques y finalmente se ha multado al operador en cuestión por no pedir los suficientes datos para autenticar a los clientes, y pedir dicho cambio de SIM. En general, cualquier operador sería «vulnerable», porque los ciberdelincuentes lo que hacen es hacerse con el mayor número de información de la víctima, para hacerse pasar por él o ella y que el operador emita un duplicado de la tarjeta SIM con el objetivo posteriormente de hacerse con el control de la cuenta del banco o cualquier otra estafa relacionada.
El modo de actuación de estos atacantes es el siguiente. Básicamente, lo que hace el atacante es llamar a la operadora para pedir una tarjeta SIM de reemplazo. Va a suplantar nuestra identidad, por lo que previamente ha tenido que obtener ciertos datos como nuestro nombre, DNI, la compañía que tenemos contratada, etc. Lo más crítico es que el atacante conozca nuestra cuenta bancaria, porque normalmente la compañía pide los cuatro últimos números de nuestro IBAN. Si cuela, la operadora móvil enviará una tarjeta SIM nueva que va a controlar el pirata informático.
Aquí el problema también depende de las medidas de seguridad de un operador en cuestión. No es la primera vez, ni por ahora será la última, en la que una compañía telefónica recibe una sanción de la AEPD por culpa del SIM Swapping. Y todo porque no se aseguran de comprobar fehacientemente que se trata del titular de la línea de verdad y no de una tercera persona.
En cualquier caso, a partir de ese momento, podría empezar a utilizar el número de teléfono en su dispositivo como si fuera la víctima. Va a recibir códigos de 2FA vía SMS, podrá recibir llamadas de teléfono para confirmar contraseñas o identidades etc. Utilizará ingeniería social y realmente dependemos de nuestra operadora, de que no caiga en la trampa y envíe una SIM. No obstante, puedes aumentar la seguridad si evitas dar demasiada información en Internet.
Por este motivo, siempre que uses un servicio que tenga autenticación en dos pasos o verificación de dos facturas, nuestra recomendación es que nunca utilices ni los SMS ni tampoco las llamadas, para no ser vulnerables ante este tipo de ataques. Lo más recomendable por seguridad, es utilizar una aplicación autenticadora en nuestro smartphone, de esta forma, solamente podremos generar los códigos en nuestro móvil y no tendremos que recibir ninguna información vía SMS. En el caso de los bancos, por ejemplo, Caixabank ya nunca usa los mensajes SMS para autenticar nada, ni transferencias, ni cambios de configuración ni nada, ellos usan una app adicional llamada Caixabank Sign y que sirve justamente para esto. En el caso de otros bancos como Openbank o BBVA entre otros muchos, siguen usando los mensajes SMS de forma bastante cotidiana, algo que personalmente no nos gusta nada.
Simjacker
En este caso, los piratas informáticos lo que hacen es aprovechar una vulnerabilidad. Este ataque, que tiene bastante complejidad, permite piratear la tarjeta SIM. Es lo que se conoce como Simjacker o robo de tarjeta SIM. Van a enviar un código a través de un SMS. Realmente lo que envían es un software espía. Una vez la víctima ha abierto ese mensaje y han logrado explotar la vulnerabilidad, podrían espiar las llamadas, mensajes, rastrear la ubicación… A través de un software que forma parte del funcionamiento de la tarjeta SIM, pueden explotar ese fallo y tomar el control de la tarjeta. Concretamente, el software es un navegador sencillo que viene junto a la tarjeta.
Hoy en día es muy poco probable que este problema afecte realmente, a no ser que de descubra un fallo de seguridad muy importante en la configuración de las tarjetas SIM que usamos actualmente. El motivo principal es que lo normal es que utilicemos navegadores como Google Chrome, Mozilla Firefox y otros similares. Eso limita mucho la probabilidad de que un atacante logre explotar esta vulnerabilidad.
Clonación de SIM
Esto es lo más complicado de todo y es también muy improbable que ocurra. Esta vez, los atacantes van a necesitar tener acceso físico a la tarjeta SIM. ¿Qué podría ocurrir? Por ejemplo, puede pasar que tu móvil se estropee y lo lleves a arreglar a una tienda de poca fiabilidad y clonen tu tarjeta. Lo que hace el pirata informático es copiar el número de identificación único de la tarjeta, en la nueva que va a tener. A partir de ahí, podrá suplantar nuestra identidad y actuar como si fuéramos nosotros. Es importante evitar que alguien que no sea de confianza pueda tener acceso físico a la tarjeta. O, por otro lado, que pierdas o te roben el móvil con la SIM. Entonces podrían acceder a la tarjeta física también y realizar la clonación. De ahí la importancia de bloquearla de la forma más rápida contactando con tu operador.
Una vez más, en España es muy raro este tipo de ataques, pero pueden suceder, sobre todo si llevas tu smartphone a reparar a sitios de dudosa confianza. Además, la Policía Nacional trabaja muy de cerca para evitar este tipo de acciones, y en cuanto alguien denuncia que ha ocurrido esto, investigan hasta el final para desarticular todas las empresas o personas que han cometido este delito.
Evitar el robo de tarjetas móviles
¿Qué puedes hacer para evitar el robo de tarjetas SIM? Lo más importante es el sentido común. Es clave que no cometas errores al navegar por Internet, como por ejemplo dar demasiados datos personales, registrarte en plataformas peligrosas o poner tu número en foros abiertos. Esto podría dar lugar a que un intruso se haga con esta información y lleve a cabo ataques.
Lo mejor es ocultar al máximo nuestros datos personales, con el objetivo de que nadie pueda saber o investigar sobre nosotros. También deberías tener cuidado a la hora de llevar un móvil a una tienda si necesitas arreglarlo. Acude siempre a servicios profesionales y tiendas de garantías. Has podido ver que existe la posibilidad de que clonen la tarjeta del móvil si tienen acceso físico a ella. Por tanto, llevarlo a lugares fiables es una medida de precaución para no tener problemas de este tipo. Además, en caso de perder o que te roben el móvil, debes actuar llamando al operador para bloquear la SIM.
También hay que tener en cuenta que se puede hacer el SIM Swapping sin tener acceso a la tarjeta física, haciendo algún ataque de ingeniería social con el objetivo de engañar a los operadores, para que así crean que los ciberdelincuentes son los clientes, y que realmente quieren cambiar la tarjeta SIM. En estos casos, nosotros no podremos hacer absolutamente nada, dependeremos de la profesionalidad (o no) del agente que coja la llamada y proceda a hacer el envío de la nueva tarjeta SIM a la dirección que sea, o que incluso acepte el intercambio de SIM en un locutorio o similares. Con las tarjetas eSIM esto ocurriría exactamente igual, pero siempre mediante ingeniería social, de hecho, cuando usamos una eSIM normalmente no se puede dar de alta en varios móviles simultáneamente, sino que es de un solo uso, y si queremos cambiar de móvil, tendremos que darla de alta nuevamente y en la anterior se desactivará automáticamente.
Por otra parte, conviene proteger tus dispositivos con un buen antivirus. Esto puede alertarte en caso de que descargues algún archivo malicioso por error, como puede ser un documento que te envíen por correo electrónico o algo que bajes de Internet sin darte cuenta. Por tanto, un buen software de seguridad va a ser de gran ayuda. Por supuesto, nunca deberías descargar aplicaciones de dudosa procedencia, instala siempre las apps desde Google Play o bien desde la App Store, con el objetivo de que hayan pasado muchos controles antes de ser publicadas en estas tiendas de aplicaciones.
Además, tener el dispositivo actualizado viene bien para proteger no solo la tarjeta SIM, sino cualquier tipo de dato personal o el buen funcionamiento. A veces aparecen vulnerabilidades que conviene solventar, por lo que contar con las últimas versiones puede ser de gran ayuda en estos casos. En el caso de Android y iOS, todos los meses disponemos de actualizaciones de seguridad, y también aprovechan para mejorar las funcionalidades actuales e incluso para añadir nuevas, por lo tanto, es recomendable que tengas en cuenta estas actualizaciones mensuales para proteger tu móvil adecuadamente.
Como ves, hay básicamente tres métodos con los que pueden robar tu tarjeta SIM. Son poco probables, pero conviene conocerlos para no tener problemas en el futuro y saber cómo hay que actuar en estas situaciones. En caso de que logren explotar estos fallos, podrían tener acceso a todos tus SMS, llamadas, etc. De ahí la importancia de conocer cómo puedes protegerte y, sobre todo, que errores puedes evitar cometer.
¿Cómo saber si me han robado la SIM?
En la mayoría de casos, como decíamos, al solicitar un duplicado (incluido en las eSIM), la línea principal dejará de funcionar en el momento en el que la nueva se active. Por lo que es un claro indicativo de que algo no funciona. En otros casos, es posible que la red se haya caído o incluso que la tarjeta se haya estropeado.
Lo que está claro es que si tu SIM se desconecta y te quedes sin señal de pronto, es ahí cuando deberías sospechar, ya que si, de repente, te quedas sin cobertura, datos móviles, y no puedes hacer nada, una de las opciones de que ocurre es esta, por lo que deberás de ser rápido e intentar contactar con tu operadora de algún modo, para preguntar qué ocurre, ya que también podría ser un error de ellos, sin embargo, de no serlo, podrán ayudarte a desactivar la línea del ladrón.
En otros métodos de clonación, es probable que ambas líneas funcionen, sin embargo, en ese caso, tú también recibirás SMS de confirmación de transacciones, restauración de contraseñas, etc, por lo que sabrás de forma más segura aún, que están intentando acceder a tus cuentas.