El FBI advierte: los ataques de intercambio de SIM se están disparando, no se jacte de su criptografía en línea

Los piratas informaticos se estan volviendo mas rapidos en la

La Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) advierte sobre un gran aumento en las estafas que utilizan el intercambio de SIM de teléfonos inteligentes para defraudar a las víctimas.

El intercambio del módulo de identidad del suscriptor (SIM) es un viejo truco, pero el FBI ha emitido una nueva alerta al respecto debido a un salto masivo en los casos reportados en 2021 en comparación con años anteriores.

Los teléfonos inteligentes son herramientas críticas para autenticarse en servicios en línea, como los bancos que usan SMS para los códigos de inicio de sesión. Es un problema grave: si los delincuentes pueden obtener el control de estos servicios, pueden acceder al banco, el correo electrónico, las redes sociales y las cuentas bancarias de la víctima. Las quejas al Centro de Quejas de Delitos en Internet (IC3) del FBI se han disparado en el último año.

VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)

Desde enero de 2018 hasta diciembre de 2020, el FBI recibió 320 quejas relacionadas con incidentes de intercambio de SIM con pérdidas de aproximadamente $12 millones. En 2021, recibió 1611 quejas de intercambio de SIM con pérdidas de más de $68 millones, advirtió el FBI en un nuevo anuncio de servicio público.

Los estafadores abusan de los servicios de soporte de los centros de llamadas de los operadores de redes móviles llamándolos y haciéndose pasar por clientes para obtener una nueva tarjeta SIM. La víctima no sabe que hay una nueva tarjeta SIM conectada a su número de teléfono, lo que les da a los atacantes el acceso que necesitan.

«Una vez que se intercambia la SIM, las llamadas, los mensajes de texto y otros datos de la víctima se desvían al dispositivo del delincuente. Este acceso permite a los delincuentes enviar solicitudes de ‘Olvidé mi contraseña’ o ‘Recuperación de cuenta’ al correo electrónico de la víctima y otras cuentas en línea asociadas con el número de teléfono móvil de la víctima», advierte IC3 del FBI.

«Usando la autenticación de dos factores basada en SMS, los proveedores de aplicaciones móviles envían un enlace o un código de acceso único por mensaje de texto al número de la víctima, ahora propiedad del delincuente, para acceder a las cuentas. El delincuente usa los códigos para iniciar sesión y restablecer contraseñas, obteniendo control de las cuentas en línea asociadas con el perfil del teléfono de la víctima».

Para mejorar la seguridad, muchas organizaciones usan mensajes SMS como una forma de autenticación de múltiples factores porque se supone que el propietario de la cuenta tiene control sobre el dispositivo. Los códigos entregados a través de SMS son convenientes debido a la alta adopción y la creencia de que SMS es mejor que simplemente confiar en una contraseña que puede verse comprometida. El intercambio de SIM es una forma en que los delincuentes eluden esta seguridad.

Como han argumentado Microsoft y otros, los SMS son una forma insegura y poco confiable de entregar códigos para autenticar cuentas en línea. Microsoft quiere que las organizaciones usen aplicaciones, como su Autenticador, porque son un objetivo más difícil de comprometer.

El FBI detalla las muchas formas en que los atacantes no solo pueden engañar, sino también atraer a los empleados de los operadores de redes móviles para objetivos nefastos. Desde la perspectiva del atacante, el aumento de las criptomonedas como Bitcoin y la dependencia de los intercambios en los teléfonos para la autenticación se suma al atractivo de las estafas de intercambio de SIM.

«Los actores criminales realizan principalmente esquemas de intercambio de SIM utilizando ingeniería social, amenazas internas o técnicas de phishing», dice IC3 del FBI.

El atacante a menudo se hace pasar por una víctima y engaña a los empleados del operador de telefonía móvil para que cambien el número de teléfono móvil de la víctima a una tarjeta SIM en posesión del delincuente.

«Los delincuentes que utilizan amenazas internas para llevar a cabo esquemas de intercambio de SIM pagan a un empleado de un operador de telefonía móvil para que cambie el número de teléfono móvil de una víctima a una tarjeta SIM en posesión del delincuente. Los delincuentes suelen utilizar técnicas de phishing para engañar a los empleados para que descarguen malware utilizado para piratear los sistemas de los operadores de telefonía móvil. que realizan intercambios de SIM», dice IC3 del FBI.

El intercambio de SIM es un problema real. T-Mobile confirmó en diciembre que el intercambio de SIM estaba detrás de una importante violación de datos. Un exempleado de un operador de telefonía móvil de EE. UU. fue sentenciado en octubre por aceptar sobornos de hasta 500 dólares al día para intercambiar números de teléfono. Los operadores también carecen de procedimientos para ayudar a los clientes cuando se convierten en víctimas de estafas de intercambio de SIM, como se detalla en una cuenta personal en 2019 por el especialista móvil de MarketingyPublicidad.es, Matthew Miller. También es un problema global para las empresas de telecomunicaciones. Telstra de Australia ahora avisa a los bancos cuando se transfiere un número de teléfono móvil para contrarrestar los ataques de intercambio de SIM.

Los consejos del FBI para protegerse incluyen:

  • No anuncie información sobre activos financieros, incluida la propiedad o inversión de criptomonedas, en foros y sitios web de redes sociales.
  • No proporcione su número de teléfono móvil o información de cuenta por teléfono a representantes que soliciten la contraseña o pin de su cuenta. Verifique quiénes son realmente marcando la línea de atención al cliente de su operador de telefonía móvil.
  • Evite publicar información personal en línea, como número de teléfono móvil, dirección u otra información de identificación personal.
  • Use una variación de contraseñas únicas para acceder a las cuentas en línea.

Deja un comentario