Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

¿Por qué a un ciberdelincuente le interesa duplicar tu tarjeta SIM?

Fecha de publicación 26/09/2019
Enlace al artículo "¿Por qué a un ciberdelincuente le interesa duplicar tu tarjeta SIM?"

La entrada en vigor de la normativa PSD2, en la que el teléfono móvil pasa a tener un rol muy importante para la realización de pagos online al ser necesario para la confirmación de las transacciones, convierte a este dispositivo en objetivo claro de los ciberdelincuentes. Conseguir el “segundo factor” de autenticación de un solo uso, que el banco envía al teléfono del usuario, por ejemplo, en formato SMS, será vital para todo aquel estafador que quiera confirmar un pago online. ¿Cómo conseguir ese código? Realizando un duplicado de la tarjeta SIM.

Son muchos los casos que han salido a la luz recientemente sobre usuarios que han visto como su tarjeta SIM había sido duplicada sin ser conscientes de ello. Muy sonado fue el de caso de Jack Dorsey, CEO de Twitter, cuya cuenta de dicha red social estuvo comprometida, realizándose publicaciones en su nombre de índole racista. Tras una investigación, la propia red social comunicó que el número de teléfono asociado a la cuenta había sido comprometido, y esto provocó que, haciendo uso de la función de tuitear mediante mensajes de texto, pudieran suplantar al CEO de la compañía. Cómo veis a través de este ejemplo, no siempre hay un motivo económico por detrás, en este caso, la intención era dañar la imagen de la compañía así como cuestionar las medidas de seguridad implementadas en la red social.

¿Cómo se solicita un duplicado de la SIM?

Para entender un poco mejor cómo se puede llegar a materializar el fraude del “duplicado de la SIM”, es importante saber cuál es el proceso habitual de solicitud utilizado por la mayoría de las operadoras de telefonía móvil. En líneas generales, funciona de la siguiente forma:

  • El usuario, dependiendo de cuál sea su operadora, deberá dirigirse a cualquier tienda física, llamar por teléfono o acceder al área personal del sitio web oficial para realizar la solicitud.
  • Es requisito obligatorio ser titular de la línea de teléfono.
  • El usuario recibe la SIM y procede a su activación.
  • La operadora desactiva la anterior SIM.

Si quieres conocer más en detalle cómo es el proceso concreto utilizado en cada operadora, consulta los siguientes enlaces: Movistar, Vodafone, Jazztel, Pepephone, Orange, Más móvil, Yoigo, Lowi. También puedes contactar con tu operadora y que te informen del proceso.

¿Cómo funciona este fraude?

Entonces, si es necesario ser titular de la línea para poder realizar un duplicado de tarjeta SIM, ¿cómo es posible que alguien, que no seas tú, pueda hacerlo? Está claro, la persona estafadora o ciberdelincuente deberá suplantar tu identidad para poder hacerlo.

En tiendas físicas será más complicado que alguien lo haga, porque cuando el técnico de la tienda verifique la identidad del usuario, solicitando para ello el carnet de identidad, rápidamente se dará cuenta de que no coinciden los datos, a no ser que presente un carnet falso, que no levantará ninguna sospecha si la apariencia de éste parece legítima y los datos coinciden.

En los procesos de solicitud de tarjeta SIM por medio telefónico o incluso online, puede resultar más sencillo suplantar tu identidad si disponen previamente de tu información personal: credenciales de acceso, nombre, apellidos, DNI, fecha de nacimiento, domicilio de facturación, 4 últimos dígitos de tu cuenta bancaria, etc.

Ahora viene el quid de la cuestión, ¿y cómo consiguen esos datos? Hay muchas formas de recopilarlos. Veamos los más destacados:

  1. Resultando víctimas de fraudes de tipo phishing, en los que a través de un email, SMS, mensajes de chat, etc. nos hacen creer que son una determinada empresa, entidad o persona y bajo cualquier excusa nos piden que facilitemos ciertos datos sobre nosotros.
  2. Comprando en tiendas online fraudulentas, en cuyo proceso de pago nos piden gran cantidad de información privada, incluidos los datos bancarios.
  3. Participando en encuestas que se viralizan a través de redes sociales y mensajería instantánea para obtener supuestamente de manera gratuita vales de descuento, cupones o premios varios.
  4. Siendo estafados por algún vendedor/comprador que se enmascaran bajo perfiles falsos en tiendas de compraventa online, foros de Internet u otros servicios que nos engañan con sus artimañas con el fin de robar nuestra información.
  5. Publicando a través de redes sociales información personal sin tener controlado quién está accediendo a nuestras publicaciones, y sin pararnos a pensar que todo lo que decimos y hacemos puede ser utilizado en nuestra contra.
  6. Descargando aplicaciones móviles distribuidas fuera de los mercados oficiales, ya que no sabemos quién las ha desarrollado, si son seguras, con quién intercambian la información que recopilan del usuario, etc.
  7. Registrándonos en servicios web de dudosa reputación o cuyas políticas de privacidad no están claras, de tal forma que no sabemos cómo almacenan nuestros datos (¿cifrados en sus servidores?) y qué uso harán de ellos.
  8. Recopilándolos de servicios cuyas medidas de seguridad han sido vulneradas, filtrándose, en distintos foros y páginas web, información privada de sus clientes/usuarios.

Si os fijáis, en muchas de las ocasiones somos nosotros mismos los que facilitamos información personal de una manera u otra. Por tanto, debemos reflexionar y tener siempre presente que debemos ser cautos cuando vayamos a facilitar información personal. Analizar y reflexionar quién me la está pidiendo y con qué objetivo, para evitar que llegue a manos de personas con malas intenciones.

¿Qué síntomas me pueden poner en alerta y qué debo hacer?

Ahora bien, ya sabemos que en un momento dado, alguien podría suplantar nuestra identidad, en el contexto de este post, para realizar un duplicado de la tarjeta SIM e intentar obtener un beneficio aprovechándose de las distintas opciones que este hecho le pueda proporcionar.

  • Contacta lo antes posible con tu operadora si detectas que te has quedado sin cobertura en sitios donde habitualmente siempre tienes y desconoces la causa.
  • Del mismo modo, si al acceder a tu banca online ves cargos de movimientos que desconoces, contacta con tu banco para intentar esclarecer la situación lo antes posible.
  • Revisa los servicios que utilices habitualmente, como redes sociales, correo electrónico, mensajería instantánea, etc. por si hubieran conseguido acceder a ellos. Modifica sus credenciales de acceso, activa la verificación en dos pasos y actualiza las opciones de recuperación de la cuenta.
  • Guarda todas las evidencias de las que dispongas para que, en caso de confirmar que has sido víctima de un fraude, puedas interponer una denuncia ante las FCSE.

Recuerda que si tienes dudas, puedes contactar con la Línea de Ayuda en Ciberseguridad de INCIBE, a través del teléfono gratuito 017, disponible todos los días del año.

SIM Swapping o el fraude de la SIM duplicada

Aprende más sobre este fraude en el siguiente vídeo: