Hackers roban miles de dólares secuestrando tarjetas SIM

Nuestros smartphones se han vuelto parte fundamental de nuestras vidas, con ellos nos comunicamos, buscamos conocimientos y guardamos en éste recuerdos invaluables de nuestras vidas. Estos equipos almacenan mucha información personal sobre nosotros y muchas veces no somos conscientes de la importancia que ello implica. ¿Qué podemos aprender sobre la seguridad de la tarjeta SIM?

¿Qué información se puede extraer?

Los cibercriminales usan variadas formas de robar datos de las personas. Un método que se ha vuelto muy popular en las últimas semanas es el hackeo a la seguridad de la tarjeta SIM. Este es un pequeño chip que podemos comprar a una empresa de telecomunicaciones para obtener línea telefónica y plan de datos. Aunque parezca diminuta, esta tarjeta almacena información sobre tus contactos, tus fotos y videos, el país en el que vives o incluso tu cuenta bancaria.

¿Cómo tipos de ataques puede sufrir una tarjeta SIM?

Según la BBC, existen dos métodos de ataque contra  el chip SIM: el “swapping” (cambio) y el “hijacking” (secuestro). Ambos términos fueron acuñados  por Joel Ortiz, un joven de 20 años que fue detenido en julio por haber hackeado 20 smartphones. Gracias a estas técnicas pudo robar el equivalente a 5 millones de dólares en criptomonedas.

En una entrevista para el sitio tecnológico Digital Trends, Emma Mohan-Satta de Kaspersky Labs declaró que el “SIM swapping” es un tipo de robo de identidad que explota la vulnerabilidad más grande de estas tarjetas. Este es el hecho de que puede funcionar en cualquier plataforma o equipo. 

Según la compañía ESET, los cibercriminales usan la ingeniería social para obtener información y acceso ilegítimo a los equipos. En este caso, los hackers tiene información previa de la víctima, esto podría ser a través de correos falsos prometiendo regalos. Después, llaman a su operador telefónico para suplantar su identidad. Asegurarán que han perdido la tarjeta SIM y pedirán una de reemplazo. Si logran engañar a la operadora, tendrán el control total del número telefónico. Con esto, los hackers podrán recibir SMS con códigos para acceder a cuentas. Por ejemplo, los bancos envían un código de seguridad al smartphone para acceder o cambiar una contraseña. Mientras el usuario de smartphone no entenderá el motivo por el cual ya no puede usar su línea telefónica.

El segundo método, el “SIM hijacking” es más complejo. Esto debido a que se envía y código malicioso con spyware a través de un mensaje de texto. Lo que se busca es que la persona abra el SMS y así los cibercriminales podrán acceder a información en tiempo real. Con ello pueden espiar todas las llamadas, mensajes o saber la geo-localización de la víctima.

Los hackers aprovechan una vulnerabilidad del software de la tarjeta SIM para obtener acceso. Una herramienta del chip cuenta con un navegador para que el usuario pueda acceder a Internet. Esta aplicación no es muy usada por ser bastante simple y solo algunas compañías telefónicas ponen su propio navegador. Esto como una opción para ofrecer descuentos y suscripciones a sus clientes. Pero es común que los usuarios escojan otras opciones como Chrome o Firefox. Lo peligroso es que el navegador básico puede ser un acceso para los hackers a pesar de no ser usado.

¿Cómo protegerse contra estas amenazas?

Lo más fácil de hacer es evitar compartir información privada en redes sociales o internet. Puedes activar alarmas en tus aplicaciones bancarias en caso de movimientos extraños o pedir a tu operador telefónico que no permita el cambio de tarjeta SIM por teléfono. 

Andrew Blaich, investigador de seguridad de Lookout, declaró para Digital Trend que los “usuarios pueden protegerse utilizando servicios que no utilizan mensajes de texto o SMS para sus códigos y utilizar aplicaciones como Google Authenticator y otro número de aplicaciones que proveen un servicio similar, ya que los SMS no son encriptados”.