La Policía Nacional de España desarticuló hace unos días una organización de ciberdelincuentes, ocho personas han sido detenidas en relación con una serie de ataques de intercambio de tarjetas SIM con el fin de realizar fraudes bancarios.
Los sospechosos de la red delictiva se hacían pasar por representantes de confianza de bancos y otras organizaciones, utilizando técnicas de phishing y smishing para obtener información personal y datos bancarios de las víctimas antes de dejar vacías las cuentas bancarias.
«Usurpaban su identidad a través de la falsificación de documentos oficiales y engañaban a los empleados de tiendas de telefonía para conseguir el duplicado de las tarjetas SIM, obteniendo acceso a los mensajes de confirmación de seguridad del banco y así podían operar en la banca online vaciando las cuentas bancarias» dijeron las autoridades.
El SIM swapping, también conocido como SIM hijacking, es una técnica en la que los criminales se dirigen a las compañías de telefonía móvil suplantando la identidad del usuario legítimo de la tarjeta SIM solicitando un duplicado de la misma con la excusa de que la original la ha perdido o ha dejado de funcionar, quedando inoperativa la tarjeta SIM de la víctima y quedando a merced de los criminales el acceso y uso del número de teléfono asociado a la tarjeta duplicada, de esta forma pueden obtener acceso a los mensajes SMS de verificación de las cuentas bancarias de las víctimas, a las cuentas de moneda virtual, correo electrónico, redes sociales, etc. El intercambio de SIM suele facilitarse mediante técnicas de ingeniería social, amenazas internas o phishing.
El esquema implica que un atacante se haga pasar por una víctima y engañe al operador de telefonía móvil para que le suministre un duplicado de la misma. También se puede conseguir sobornando a un empleado del operador de telefonía móvil o engañando a los empleados para que descarguen el malware utilizado para entrar en los sistemas y realizar los cambios de SIM. Lo más habitual es conseguir alguna credencial de la víctima como el DNI (documento nacional de identidad) para poder engañar fácilmente a los operadores de la compañía telefónica ya que no realizan ningún tipo de verificación adicional que asegure la identidad del usuario que llama.
Una vez activada la nueva SIM duplicada, los atacantes aprovechan la «identidad» para realizar restablecimientos de cuentas, eludir las protecciones de autenticación de dos factores basadas en SMS y hacerse con el control de las cuentas en línea del objetivo.
Este tipo de fraude ya le ha costado a las operadoras de telefonía en concepto de multas impuestas por la Agencia Española de Protección de Datos (AEPD) cifras tan escandalosas como los 3.940.000 euros a Vodafone o los 900.000 euros a Movistar. Orange y MásMóvil también han sido sancionadas aunque con multas de menor importe. Se espera que de esta forma las operadoras tomen medidas para prevenir este tipo de fraude e implementen mecanismos más efectivos en la verificación de identidad para proteger a sus usuarios. La AEPD ha alegado un incumplimiento por parte de las operadoras de los artículos 83.5.a) del RGPD (Reglamento General de Protección de Datos) y el artículo 72.1.a) de la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).
Mas información
https://www.policia.es/_es/comunicacion_prensa_detalle.php?ID=11102
https://www.lainformacion.com/juridico/tarjeta-sim-swapping-fraude-sim-duplicada-estafa/2858998
Deja una respuesta