El 'SIM swapping' es una estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona. Primero, el ciberdelincuente suplanta su identidad para conseguir el duplicado. Después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.
Los ciberdelincuentes suelen contactar a través de una llamada con la operadora de telefonía o de forma presencial y proporcionan la información personal y privada de la víctima, como su número de DNI, para suplantar su identidad. Estos datos pueden haber sido recabados anteriormente realizando otros ataques de ingeniería social a los afectados (fraudes a través de SMS, email o llamada telefónica en los que se hacen pasar por compañías o entidades de confianza para intentar engañarlos) o indagando en sus redes sociales.
Los datos sensibles de las víctimas también pueden ser obtenidos si estas han descargado aplicaciones fraudulentas en sus dispositivos, diseñadas por los ciberdelincuentes para robar este tipo de información, o si se han conectado a redes wifi falsas creadas para alcanzar tal objetivo.
El principal riesgo del duplicado de la tarjeta SIM radica en que cuando se realiza a través de una llamada telefónica no se efectúa una verificación de la identidad física. El operador de la compañía solicita ciertos datos personales y bancarios; si el estafador ha obtenido esta información mediante alguno de los métodos de ataque mencionados anteriormente, podría adquirir el duplicado.
Existen una serie de buenas prácticas de seguridad que disminuyen las posibilidades de sufrir un ataque de 'SIM swapping' y ayudan a proteger la información si llega a producirse:
- Si se detecta que el teléfono se ha quedado sin cobertura sin un motivo lógico, contactar con la operadora de telefonía para notificarlo y comprobar qué ha ocurrido. En caso de que se confirme el duplicado de tarjeta, es necesario cambiar inmediatamente las credenciales de acceso a la banca digital y a otros servicios online utilizados con frecuencia y contactar con el banco para informar de lo ocurrido.
- No proporcionar nunca datos personales o bancarios a través de enlaces incluidos en correos electrónicos o SMS que resulten sospechosos o en llamadas que no han sido solicitadas.
- Configurar adecuadamente los ajustes de privacidad y seguridad de los perfiles en redes sociales, de forma que solo los contactos puedan ver la información que se publica en ellas. Además, estas plataformas deben estar protegidas con contraseñas robustas y no se recomienda compartir información privada que pueda ser utilizada por terceras personas con fines maliciosos.
- Descargar las aplicaciones desde los mercados oficiales, como Google Play o App Store, y concederles solamente los permisos necesarios para su correcto funcionamiento.
- No introducir información sensible, como contraseñas y datos bancarios, si el dispositivo está conectado a una red wifi pública.
- Ante cargos de movimientos bancarios desconocidos, es preciso contactar con el banco lo antes posible para exponer lo ocurrido. El teléfono de BBVA para este y otros incidentes de seguridad es el 900 102 801.
- Guardar todas las evidencias de las que se disponga para interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad en caso de ser víctima de esta estafa.