Crédito: Dominio público de Pixabay/CC0
El ciberataque que se ha dirigido a Marks & Spencer (M&S) es el último en una ola creciente de casos que involucran algo llamado fraude SIM-swap. Si bien los detalles técnicos completos permanecen bajo investigación, un informe en The Times sugiere que los atacantes cibernéticos utilizaron este método para acceder a los sistemas internos de M&S, posiblemente tomando el control del número de teléfono móvil de un empleado y convencer a el personal de TI para restablecer las credenciales críticas de inicio de sesión.
El fraude SIM-swap no es un fenómeno nuevo, pero se está volviendo cada vez más peligroso y más frecuente. Según CIFAS, el Servicio Nacional de Prevención de Fraude del Reino Unido, los incidentes SIM-swap han aumentado de menos de 300 en 2022 a casi 3,000 en 2023. Lo que había sido principalmente un riesgo para los inversores de criptomonedas o las personas influyentes en línea ahora es mucho más prevalente.
Esta forma de ciberataque muestra cómo las principales empresas y personas comunes pueden verse comprometidas a través de una táctica que explota los factores humanos, como la confianza y cómo hemos construido nuestras identidades digitales en torno a los teléfonos móviles.
El fraude SIM-swap comienza cuando un estafador convence a un operador móvil para transferir el número de una víctima a una nueva tarjeta SIM, o incluso un ESIM (uno que está integrado en el dispositivo), bajo el control del estafador.
Esto se puede hacer por teléfono, a través de un chat en línea o incluso con la ayuda de una fuente sobornada. Una vez que se transfiere el número, todas las llamadas y mensajes de texto destinados a la víctima se redirigen al estafador. Esto incluye esos códigos de verificación cruciales utilizados para iniciar sesión en el correo electrónico, la banca, las aplicaciones de mensajería como WhatsApp y servicios gubernamentales como HMRC.
Esto solo sería peligroso. Pero lo que hace que el fraude SIM-swap sea tan influyente es que el estafador cibernético a menudo ya tiene acceso a un mosaico de datos personales sobre su objetivo. Esa información puede haberse recopilado de infracciones de datos, ataques de phishing, sitios web de baja reputación o incluso las redes sociales de la víctima.
Las personas a menudo subestiman hasta el que se revelan en línea: un cumpleaños publicado en Instagram, un número de teléfono incluido en una publicación de trabajo o una dirección de casa utilizada en un sorteo en línea. Los estafadores combinan estos datos para construir un perfil convincente, lo suficiente como para engañar al personal de servicio al cliente de un operador móvil para que crea que está hablando con el titular de la cuenta real.
Cómo funciona el fraude SIM-swap
Una vez que el estafador gana el control de un número, las consecuencias son extensas. Los atacantes pueden acceder a información confidencial, incluidos documentos personales y solicitar y recibir enlaces de restablecimiento de contraseña para las otras cuentas del usuario. Pueden iniciar sesión en cuentas de WhatsApp o Telegram, leer mensajes privados, hacerse pasar por el usuario e incluso contactar a amigos o familiares para realizar más estafas.
Las víctimas pueden ver mensajes falsos publicados en sus nombres o transacciones fraudulentas hechas de sus cuentas. Esto puede conducir a la pérdida financiera, el daño de la reputación, así como los problemas de salud mental y emocional por parte de las víctimas.
En el caso de M&S, los atacantes aparentemente utilizaron este acceso para manipular procesos internos y obtener acceso a sistemas sensibles. Esto resalta un riesgo más amplio: muchas compañías aún dependen de los números de teléfono como un método de verificación secundaria para el personal, lo que hace que sus sistemas sean vulnerables al mismo ciberataque utilizado contra las personas.
Reducción del riesgo
Si bien la detección en tiempo real del secuestro de números móviles sigue siendo difícil, tomar medidas específicas puede reducir significativamente la probabilidad de ser atacado y victimizado. Las personas deben evitar compartir datos personales innecesariamente, especialmente en múltiples plataformas y, muy importante, en sitios web desconocidos o no confiables.
Muchos atacantes no obtienen toda la información necesaria de una sola fuente. En cambio, lo recolectan de forma incremental, utilizando perfiles públicos, bases de datos de marketing y filtraciones pasadas para formar una imagen integral.
Estar consciente de dónde comparte su número de teléfono, cumpleaños u otros identificadores puede dificultar que otros lo haga pasar por su parte. También es crucial aprender cómo funciona el phishing y cómo reconocerlo, por lo que no enviará su información confidencial a los sitios web de phishing o falsos.
Evitar la autenticación basada en SMS, cuando sea posible, es otro paso clave. Muchos servicios ahora admiten aplicaciones de autenticador, como Google Authenticator, Microsoft Authenticator, Due o Authy, que no están vinculadas a su número de teléfono móvil. Para las cuentas móviles, configurar un PIN o contraseña únicos en su cuenta, que debe proporcionarse para autorizar cualquier cambio, puede agregar una capa adicional de protección. Esto hace que sea más difícil para alguien iniciar un intercambio de SIM sin ese código. Sin embargo, los usuarios por sí solos no pueden cumplir con este deber.
Los operadores de redes móviles deben fortalecer las prácticas de verificación de identidad, ir más allá de las preguntas básicas sobre los nombres y las direcciones que pueden recopilar o adivinar fácilmente. Los bancos y otras instituciones financieras deben reconsiderar el uso de SMS o, al menos, solo SMS como el método predeterminado para la autenticación confidencial. Y las empresas, particularmente aquellas que manejan datos personales o activos financieros, necesitan capacitar a sus equipos de TI y servicio al cliente para reconocer los signos de ataques basados en la identidad.
El fraude SIM-swap es efectivo no porque sea altamente técnico, sino porque explota nuestra confianza en los números de teléfono para la verificación de identidad. El caso de M&S y ejemplos similares muestran cuán frágil puede ser esa confianza, y por qué asegurar nuestras identidades móviles ya no es opcional.
Proporcionado por la conversación
Este artículo se vuelve a publicar de la conversación bajo una licencia Creative Commons. Lea el artículo original.
Cita: los ataques cibernéticos de M&S utilizaron una técnica poco conocida pero peligrosa, y cualquiera podría ser vulnerable (2025, 14 de mayo) recuperado el 14 de mayo de 2025 de https://techxplore.com/news/2025-05-ms-cyberattacks-dangerouse-technique-vulnerable.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
