Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historia real: SIM swapping, de estar sin cobertura a estar sin dinero en el banco

Fecha de publicación 02/08/2022
Autor
Pablo Gracia Álvarez (INCIBE)
Mano digital saliendo de la pantalla de un ordenador e interactuando con el teclado

Era un martes a las 5:15, el despertador de Alberto sonó. Tenía que irse de viaje de trabajo pues es el responsable de compras en una pequeña empresa. Tras meter el portátil y el móvil en la mochila, herramientas de trabajo indispensables con tanto viaje, se dirigió al aeropuerto. En el taxi, su teléfono corporativo perdió la cobertura, incluso no tenía conexión de datos. No le dio más importancia.

Al llegar al aeropuerto seguía igual, por lo que decidió utilizar la red wifi disponible para clientes en el aeropuerto, aun a sabiendas de que no es recomendable conectarse a redes públicas sin tomar las debidas precauciones.

Al conectarse, el teléfono de Alberto comenzó a recibir notificaciones de la aplicación de la entidad bancaria sobre compras y transferencias realizadas con su tarjeta corporativa. Al ver todo eso llevó su mano a la cartera y comenzó a buscar su tarjeta bancaria. Estaba ahí, en su sitio.


Tengo la tarjeta bancaria aquí, ¿cómo es posible esto? –se preguntaba Alberto.


En cuestión de minutos la puerta de embarque se cerraba, Alberto estaba sin cobertura, y otras personas realizando compras en su nombre y con su dinero.


No puedo coger este vuelo, tengo que solucionar esto como sea –se dijo a sí mismo.


Antes de salir del aeropuerto, bloqueó la tarjeta desde la aplicación del banco gracias a la conexión wifi. Aun sin cobertura, Alberto decidió pasar por una sucursal de su entidad bancaria esperando explicaciones de lo sucedido. Al llegar a esta, le comentaron que todos estos movimientos se habían realizado vía Internet con su tarjeta bancaria.

 

¿Y los SMS de verificación de los pagos online? –se preguntaba.


Tras esa reflexión se da cuenta de una cosa: no tiene cobertura, ahí es donde reside el problema. 

 

¿Qué ha pasado?

Alberto decide contactar con su compañía telefónica para ver qué está pasando con su teléfono. Para su sorpresa, le comunican que ha solicitado un duplicado de tarjeta, por lo que es lógico que la que está en su teléfono quede inhabilitada.
¿Qué está pasando aquí? ¡Yo no he pedido un duplicado! No entiendo nada –dice sorprendido.

Alberto ha sido víctima del SIM swapping. Esta técnica consiste en conseguir un duplicado de la tarjeta SIM suplantando la identidad del propietario. Para ello, previamente consiguen los datos personales que necesitan. Así, el ciberdelincuente puede realizar en nuestro nombre operaciones que requieran verificación vía SMS, como compras a través de Internet.

¿Cómo ha podido ocurrir?

El ciberdelincuente mediante técnicas de ingeniería social había conseguido los datos de Alberto (DNI, domicilio, número de tarjeta…), y este ni se había dado cuenta. Ocurrió unos días atrás vía un SMS que recibió supuestamente de su banco. Con estos datos los atacantes solicitaron a la compañía telefónica un duplicado de tarjeta SIM. Una vez la consiguieron y tras introducirla en un dispositivo móvil habían conseguido acceso a todos los mensajes de verificación de Alberto. Además, tenían los datos de su tarjeta y con ello pudieron hacer compras.

¿Qué hacer para evitarlo?

Para evitar ser víctima del SIM swapping recomendamos lo siguiente:

  • Verificar la integridad y veracidad de los SMS y correos electrónicos para no ser víctima de phishing o smishing, ya que para realizar esta técnica el ciberdelincuente tiene que conseguir antes nuestros datos.
  • Si detectas una anomalía con tu red telefónica llamar a la compañía lo antes posible para comprobar lo sucedido. 
  • Implementar la verificación en dos pasos siempre que sea posible, mediante aplicaciones como Authy, Google Authenticator o similares. Esto nos permitirá añadir una capa de seguridad más a nuestras aplicaciones.
  • Utilizar un gestor de contraseñas con contraseñas robustas y diferentes para cada sitio web que nos registramos y actualizarlas de forma periódica.
  • No abrir hipervínculos sospechosos ni descargar contenido dudoso en nuestros dispositivos.
  • Mantener actualizados los dispositivos, ordenadores, teléfonos, tabletas…
  • Conectar los dispositivos a redes seguras siempre que podamos, evitando conectarnos a redes públicas sin tomar las precauciones correspondientes.

¿Qué hacer si te ocurre?

Si has sido víctima de SIM swapping:

  • Debes ponerte en contacto con tu compañía telefónica para anular ese duplicado de tarjeta y volver a tener disponible nuestro teléfono.
  • Ponte en contacto con tu entidad bancaria, debes de anular todas las operaciones realizadas de manera ilegítima y bloquear los futuros movimientos bancarios hasta que se arregle la situación.
  • Cambiar las contraseñas y revisar las redes sociales para ver si se ha publicado contenido en nuestro nombre, estas también han podido ser comprometidas.
  • Guardar todas las evidencias de lo sucedido y denunciar lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía o Guardia Civil) para que los hechos puedan ser investigados.
  • Notificar el incidente a INCIBE-CERT o ponerte en contacto con Tu Ayuda en Ciberseguridad de INCIBE si precisas más información sobre este tipo de incidentes.

Recuerda que puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE: la Línea de Ayuda 017, los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad