El ‘SIM swapping’ puede vaciar la cuenta corriente de la víctima en pocos minutos
Eran las once y media de la noche del lunes y Matt Miller fue despertado súbitamente por su hija: “Papá, creo que te han hackeado Twitter”. Este susto fue el pistoletazo de salida y solo la punta del iceberg de una angustiosa situación que derivó con la cuenta de su banco bloqueada, un cargo de 25.000 dólares no reconocido y toda su vida virtual en manos ajenas. Este bloguero detalló punto por punto su drama en un artículo publicado en ZDNET y titulado Historia de horror SIM Swap: he perdido décadas de documentos y Google no mueve un dedo. Miller había sido víctima de un fenómeno cada más habitual y que ya ha traspasado nuestras fronteras: el SIM swapping.
¿En qué consiste exactamente? El peligro real de esta técnica reside en que explota un punto débil en un poderoso sistema de protección de identidad: la verificación en dos pasos. Y tiene lugar de esta manera: los hackers se hacen con el número de móvil de la víctima e identifican al operador que les da servicio; hecho esto, se ponen en contacto con este operador haciéndose pasar por el titular de la línea (en este punto, evidentemente conocen más datos del afectado, como su DNI, posiblemente cuenta bancaria, etcétera) y con esta información explican que han perdido su móvil y desean un duplicado de la SIM. Una vez en su poder, los hackers acceden a los principales servicios de la víctima pulsando sobre “he olvidado la contraseña” y recibiendo los códigos de verificación en la línea ‘robada’. A partir de ahí es una bola de nieve que no para de crecer y el tiempo de reacción de la víctima resulta determinante.
También en España
El SIM swapping deja en evidencia la fragilidad del que es, hoy por hoy, el sistema de seguridad más eficaz: la verificación en dos pasos, consistente en la utilización de un dispositivo adicional (por lo general, el móvil) en el que se recibe un código temporal (o token) que acredita la identidad del usuario. En España este fenómeno es menos habitual que en Estados Unidos, pero comienzan a darse casos, aunque todo parece indicar que son más aislados. Desde Vodafone explican a EL PAÍS que las posibilidades de que suceda en su red son, salvo algún error en la cadena, inexistentes: en el caso de solicitud de un duplicado de SIM “se remite al cliente siempre a canales presenciales (tienda) y tiene que ir el titular siempre con el nif/nie original y la tienda se quedará con una fotocopia del mismo”. «En el caso de que el cliente no quiera o pueda ir a tienda, se le solicita DNI o clave de 4 dígitos (que haya elegido con anterioridad previamente) y se comprueba que no haya ningún cambio de datos reciente”, añaden.
El peligro real de esta técnica reside en que explota un punto débil en un poderoso sistema de protección de identidad: la verificación en dos pasos
Si un bloguero experto en tecnología como es el caso de este columnista de ZDNET ha padecido en carne propia este robo de identidad, ¿cómo puede protegerse el común de los mortales? De este suceso cada vez más frecuente se confirma que la recepción de un SMS es un sistema cada vez menos fiable, y hay que activar, en aquellos servicios que lo soporten, la verificación en dos factores que evita el uso de mensajes de texto y en su lugar emplea otros dispositivos del usuario para generar códigos temporales. En el caso de Apple, si uno tiene un iPhone, podrá emplear el iPad como soporte para activar el primero y viceversa.
Pero todavía puede incrementarse más la seguridad empleando dispositivos físicos para verificar la identidad del usuario, como es el caso de Yubikey y similares: para acceder a un servicio en un equipo no reconocido, será necesario introducir este pendrive e identificar al usuario de forma biométrica. Se trata, hoy por hoy, del mayor nivel de protección que puede alcanzarse.