Podemos decir que cualquier dispositivo que utilicemos, cualquier servicio o programa, puede llegar a sufrir algún problema de seguridad en un momento dado. Es por ello que siempre debemos mantener protegidos todos los equipos, contar con actualizaciones y programas que nos ayuden a evitar el malware. Sin embargo los piratas informáticos constantemente buscan la manera de atacar. En este artículo vamos a hablar de qué métodos pueden usar para atacar una tarjeta SIM. Es algo que podría comprometer seriamente nuestra privacidad.
La tarjeta SIM, objetivo para los ciberdelincuentes
Algo fundamental para nuestro día a día, para poder conectarnos a Internet desde el móvil, es la tarjeta SIM. Este pequeño dispositivo tiene vinculados nuestros datos personales, un número y, a su vez, sirve para registrar múltiples servicios y plataformas.
Por ejemplo podemos mencionar el uso de la autenticación en dos pasos. Cada vez son más los programas que usamos frecuentemente y que necesitan confirmar nuestra identidad a través de un mensaje en el que nos envían un código. Una manera de verificar que realmente somos el usuario legítimo.
Esto hace que los piratas informáticos pongan aquí sus miras. Si logran hackear una tarjeta SIM, si logran tomar el control de nuestro número de móvil, van a poder acceder a muchos servicios. Esto puede servir para robar datos y comprometer nuestra privacidad.
Cómo pueden atacar una SIM
Para atacar una tarjeta SIM pueden utilizar diferentes métodos. Ya hemos indicado que los cibercriminales constantemente se actualizan y buscan nuevas formas de lograr su objetivo. Es importante saber cuáles son los principales para poder protegernos y evitar cometer errores que puedan afectarnos.
SIM Swapping
Uno de los métodos más utilizados por los piratas informáticos para atacar una tarjeta SIM es lo que se conoce como SIM Swapping. Es un fraude de suplantación de la tarjeta. Básicamente lo que hace el atacante es conseguir que la operadora transfiera un número de teléfono a otro dispositivo.
Para que esto ocurra, los atacantes van a tener que recopilar información personal de la víctima. A fin de cuentas lo que van a hacer es pasarse por ellos. Van a simular ser un cliente que solicita transferir su número. Esto lo pueden obtener a través de un ataque Phishing previo, en el que recopilan todo tipo de datos personales que van a necesitar.
Posteriormente va a ponerse en contacto con la operadora para solicitar ese cambio. Va a dar los datos y va a indicar que le han robado o ha perdido el móvil y que por tanto necesita una nueva tarjeta SIM.
Este problema puede afectar a cualquier usuario. Es por ello muy importante evitar que nuestros datos estén disponibles en Internet para cualquiera. Siempre debemos proteger la información personal, utilizar herramientas de seguridad y por supuesto el sentido común para que no se filtren datos en Internet.
SIMjacker
Otra técnica que pueden usar para atacar una tarjeta es lo que se conoce como SIMjacker. En este caso se van a basar en una vulnerabilidad existente. Es algo que apareció hace unos años y que afectó a determinados usuarios.
El atacante va a enviar un mensaje de texto con un código. En caso de que la víctima lo abra, el pirata informático podría explotar esa vulnerabilidad. Podría usarlo para espiar el uso del dispositivo, como por ejemplo leer los SMS o controlar las llamadas.
Hay algunas operadoras de telefonía que utilizan un kit de herramientas de aplicaciones para la SIM. Por ejemplo un navegador integrado para poder acceder a la red en un momento dado. Es justo este kit el que puede explotar este tipo de ataque. Eso sí, siempre y cuando sea vulnerable.
No obstante, es un ataque muy concreto que afectó a determinados usuarios y operadoras. Hoy en día lo cierto es que la mayoría utiliza otros navegadores y es raro que se vean afectados por problemas así. Eso sí, es otra cuestión más a tener en cuenta.
Clonación física de la tarjeta
Sin duda otra forma que pueden utilizar es la clonación física de la tarjeta. Básicamente significa que un atacante va a crear una segunda SIM idéntica a la principal. Para ello van a tener que acceder físicamente a esa tarjeta y copiarla.
Una vez hecho esto, el atacante va a poder utilizar la tarjeta copiada como si fuéramos nosotros. Tendría acceso a los mensajes, por lo que podría saltarse la autenticación en dos pasos. Es un problema sin duda importante.
Qué hacer para evitar ataques a la tarjeta SIM
Hemos visto algunos métodos que podrían utilizar para atacar nuestra tarjeta SIM. Es algo que lógicamente pone en riesgo nuestra privacidad y podría permitir a un tercero que accediese a datos e información personal. Vamos a ver ahora algunos pasos a tener en cuenta para protegernos.
Sentido común y evitar errores
Sin duda lo más importante siempre va a ser el sentido común. Debemos evitar errores que puedan afectar a nuestra seguridad. Por ejemplo hay que evitar hacer clic en links que nos llegan por SMS y que no sabemos realmente si son seguros o no. Es un método que utilizaron para los ataques SIMjacking, como hemos visto.
Por tanto, debemos siempre tener presente el sentido común, reducir la posibilidad de que un atacante pueda interferir en el buen funcionamiento de los equipos y, en definitiva, conseguir la mayor protección posible.
Usar siempre un código PIN seguro
Otra cuestión muy importante es la de utilizar un buen código PIN que proteja nuestro dispositivo. En caso de robo o pérdida del dispositivo, algo que puede prevenir ataques de suplantación de identidad, el poder acceder a nuestras cuentas, es disponer de una clave de acceso.
Esto, aunque pudiera llegar a ser explotado por fuerza bruta y otros métodos, al menos nos da el tiempo suficiente para bloquear la SIM. Es sin duda una protección, una barrera de seguridad, que no puede faltar. Nunca debemos utilizar un código PIN sencillo, del tipo 1234, ya que si el atacante no tiene ni idea de este, siempre probará los más habituales, pues aunque se bloquee, tiene más opciones que acertar el número al azar.
Cuidado con dónde llevamos a arreglar el móvil
Hemos hablado también de la clonación física de una tarjeta SIM. En este caso el atacante va a tener acceso físico a esa tarjeta para poder clonarla. Una posibilidad es que, al llevar el móvil a reparar a una tienda, pudieran llegar a atacarnos de esta forma. Esto hace que siempre debamos ser conscientes de dónde enviamos nuestro móvil a reparar, especialmente si decidimos optar por páginas de Internet donde no ofrecen realmente garantías.
Es muy común optar por servicios de terceros, los cuales nos ofrecen una sustitución del hardware a un precio mucho menor de lo que la propia marca oficial nos ofrece. Y esto es algo que puede ser un peligro. En todo caso, para evitarnos problemas podemos optar por alguna de las siguientes opciones.
- Centros autorizados: Hoy en día las marcas no disponen de una delegación en cada ciudad. Pero es muy probable que se pueda encontrar algún centro autorizado por la misma, el cual nos ofrece la mejor calidad con respecto al producto. Esto es algo que las propias compañías autorizan, por lo cual quiere decir que ese centro está capacitado y cuenta con piezas originales para ese dispositivo.
- Tiendas especializadas: Hay muchas tiendas independientes, que se pueden especializar en reparar móviles. Por ejemplo. Estas tampoco suelen ser mala opción, porque es probable que puedan reponer piezas originales. En todo caso, siempre es bueno leer referencias de otras personas sobre el lugar en cuestión.
- Servicios en línea: Hay empresas que ofrecen servicios de reparación vía online. Estos te facilitan una dirección de envío, lo arreglan y te lo devuelven. Una ventaja que tienen, es que suelen ser servicios muy capacitados, y con acceso a piezas originales. En este caso, también será bueno que revisemos si cuentan con algún distintivo que les acredite como centro autorizado. O, por otro lado, leer opiniones de otros usuarios para ver cuál es la eficacia de ese servicio.
- Tutoriales: Para usuarios muy valientes, hay miles de tutoriales de prácticamente cualquier dispositivo en Internet. Estos nos muestran cómo reparar los equipos, y si conseguimos las piezas originales y lo hacemos con mucho cuidado, no deberíamos tener mucho problema. Excepto si se requiere algún tipo de herramienta especializada, como tienen algunas marcas. Si no estamos seguros de que el resultado va a ser bueno, lo mejor será acudir a profesionales.
Como puedes ver, tenemos varias opciones válidas en el mercado. Pero al final lo importante, es siempre lo mismo en todos los casos. Lo mejor es investigar sobre los lugares donde nos van a reparar el dispositivo, y que nos puedan preparar un presupuesto junto con una garantía después de la reparación.
Proteger el dispositivo
Esto es algo general, para evitar cualquier tipo de ataque. Siempre debemos mantener la seguridad en nuestros dispositivos. Esto significa que vamos a usar programas de seguridad para evitar el malware, contar con contraseñas fuertes y cualquier herramienta que pueda ayudarnos a incrementar la seguridad.
En definitiva, estos son algunos métodos que pueden usar para atacar una tarjeta SIM. Por suerte no es un problema que sea muy habitual, aunque sí es cierto que se han dado casos. Conviene por tanto saber cómo protegernos.
¿Es más segura una eSIM?
Actualmente, las eSIM son tarjetas mucho más conocidas que hace años, debido a que los principales operadores ya las están distribuyendo de una manera más común, por el hecho, también, de que la mayoría de smartphones comienzan a ser compatible con ellas.
Son tarjetas SIM, pero integradas y asociadas de forma virtual en el teléfono, por lo que tendremos nuestro número, pero sin necesidad de una tarjeta física que introduzcamos en él, sino asociándolo a través de un código QR de forma online, entre otras maneras de hacerlo.
Si bien es cierto que la clonación o duplicidad podría seguir siendo una forma de ataque, reducimos ciertos riesgos al no tener algo físico, ya que, al menos, no podrán robárnosla de manera presencial, o si perdemos el teléfono, con el simple acto de sacarla, algo que con la eSIM no se puede.
Además, esta se podrá desactivar con una llamada a la compañía, como si de una tarjeta bancaria se tratase, por lo que pese a que consiguiesen acceder al teléfono, no les serviría de nada, ni conseguirían información de ella, como antiguamente teníamos los contactos en su memoria, por ejemplo.
El SIM swapping (intercambio de SIM del que hablamos antes), por otro lado, con una eSIM, este tipo de ataque es más difícil de realizar debido a los controles adicionales que involucran la reconfiguración remota, por lo que se lo pondríamos más complicado al atacante, quien posiblemente buscase otro objetivo.
En resumen, no es que sea la alternativa perfecta para evitar ataques, pero sí que podría ayudar a mejorar, en ciertos puntos, la seguridad de nuestro número, por lo que si tienes un smartphone y compañía compatibles, te lo recomendamos.