Crédito: Dominio público de Pixabay/CC0
Nuestros números de teléfono móvil se han convertido en una forma de identificación de facto, pero pueden ser secuestrados con fines nefastos. Solo tal ataque puede haber estado involucrado en el reciente atacar cibernético muy dañino en Marks & Spencer (M&S).
El truco ocurrió en abril y obligó a M&S a dejar de tomar pedidos en línea. También causó interrupción en algunas de sus tiendas. La compañía ha dicho que su negocio en línea podría interrumpirse en julio y podría dar lugar a un impacto estimado de £ 300 millones para las ganancias.
El incidente de M&S se informa ampliamente como un ejemplo de lo que se conoce como “Sim Swap”. Es una forma de fraude que está en aumento y comprender cómo protegerse contra él ayudará a limitar su impacto.
Nuestros números móviles son únicos y los tenemos durante años. Esto significa que los usuarios generalmente quieren mantener su número cuando cambian sus teléfonos o los pierden. Cuando un usuario compra un teléfono nuevo, o simplemente una nueva tarjeta SIM para un dispositivo de repuesto que podría tener, podría llamar a su proveedor de servicios para transferir su número móvil de larga data a la nueva tarjeta SIM.
El problema es que el proveedor de servicios no sabe si realmente es ellos llamando a transferir el número. Por lo tanto, se lanzan a una serie de preguntas para asegurarse de que sean quienes dicen que son.
Pero, ¿qué pasa si alguien más tiene las respuestas a las preguntas que hace el proveedor de servicios? ¿Es el apellido de soltera de tu madre o el de tu primera mascota realmente ese secreto?
Pickings fáciles
El surgimiento de las redes sociales ha hecho que sea más fácil que nunca que los estafadores reconstruyan lo que alguna vez se consideró información privada. Pero esto podría no ser necesario. ¿Qué pasa si el proveedor de servicios simplemente se compadece y se enamora de una historia de por qué necesita transferir el número pero no puede recordar una respuesta?
De repente, alguien más puede hacer y recibir llamadas y mensajes SMS usando su número. Esto significa que podrían hacer llamadas a su costa. Sin embargo, puede parecer lógico que tan pronto como el proveedor de servicios esté informado de esto, el proveedor debería poder detenerlo y es probable que reembolse cualquier cargo fraudulento.
Sin embargo, hay una trampa. ¿Recuerdas cuando creó tu correo electrónico, cuenta bancaria o incluso una cuenta de compras en línea de comestibles y se le animó a configurar la autenticación de dos factores (2FA)? Escuchó, pero el sistema estableció su “segundo factor” como su número de teléfono móvil. Ingresa su nombre de usuario y contraseña, y solicita un código de tiempo limitado que le envíe como un mensaje SMS.
Si alguien ha logrado obtener su nombre de usuario y contraseña de inicio de sesión, generalmente a través de un correo electrónico de phishing o incluso una violación de datos, y tiene control sobre su número de teléfono, ahora tienen todo lo que necesitan para iniciar sesión en su cuenta.
Este llamado fraude SIM-swap es complejo de lograr, pero está en aumento. Los ataques aumentaron en un 1,055% en 2024, según la base de datos nacional de fraude, y supuestamente se ha utilizado en muchos hacks de alto perfil como el del ex CEO de Twitter, Jack Dorsey, en 2019.
Contramedidas efectivas
A menudo se usa para dirigir a los usuarios que tienen altos privilegios del sistema que les brindan acceso a sistemas para los que la mayoría de los usuarios no tienen permisos. Imagine que este intercambio de SIM se realizó en un administrador del sistema. Estas son las mismas personas que establecen y restablecen las contraseñas, otorgan acceso a los sistemas informáticos y, lo más peligrosamente, pueden cargar más software en la red y sus sistemas adjuntos.
Esto ha demostrado un truco tan útil que algunos servicios están cambiando a enviarle ese código de tiempo limitado a servicios de mensajería como WhatsApp. Sin embargo, este enfoque no es infalible, por lo que hay una creciente adopción de aplicaciones de autenticación, que muestran un código sincronizado que coincide con uno en poder del servicio para garantizar la autenticidad.
Nada es 100% seguro, y la seguridad de las aplicaciones de autenticación, supone que tiene una contraseña segura separada para evitar que aquellos que han robado su número de teléfono accedan a estas verificaciones de autenticación.
Los esfuerzos para mejorar la seguridad de inicio de sesión han llevado al aumento de lo que se conoce como Passkeeys, que son secuencias largas de dígitos aleatorios llamados claves criptográficas que se almacenan en su dispositivo, como un teléfono inteligente o una computadora. Solo se muestra a su cuenta en línea cuando desbloquea su teléfono.
Por lo tanto, un paso clave en la autenticación es el método que la persona utiliza para acceder a su dispositivo. Esto podría ser un autenticador biométrico como una huella digital o una exploración facial, o un número de pin de bloqueo de pantalla. Passkeys son más resistentes a los ataques de phishing y las violaciones de los datos que las contraseñas tradicionales.
Entonces, la próxima vez que llame a su proveedor de servicios móviles y insisten en hacer una gran cantidad de preguntas para demostrar su identidad, no quejarse, solo piense qué podría suceder si no hicieran suficientes cheques y alguien llevó a cabo una estafa de intercambio SIM en su número.
Proporcionado por la conversación
Este artículo se vuelve a publicar de la conversación bajo una licencia Creative Commons. Lea el artículo original.
Cita: M&S Cyber-Attack: Cómo protegerse del fraude Sim-swap (2025, 22 de mayo) Recuperado el 22 de mayo de 2025 de https://techxplore.com/news/2025-05-ms-cyber-sim-swap-fraud.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
