Saltar al contenido principal

SIM swapping - Cómo los atacantes secuestran números de teléfono

Lectura de 2 min aprox.

El intercambio de SIM (SIM swapping) es una técnica de ataque en la que el atacante se hace pasar por la víctima ante la operadora de telefonía móvil y, mediante la reemisión de la tarjeta SIM o la portabilidad del número, secuestra el número de teléfono de la víctima. El atacante intercepta los códigos de autenticación de dos factores enviados por SMS y manipula de forma ilícita cuentas bancarias o cuentas de casas de cambio de criptoactivos. En 2024, la FCC promulgó nuevas normas contra el intercambio de SIM, exigiendo a las operadoras móviles la implementación de autenticación adicional.

Casos de uso reales

«Recibimos el aviso de un cliente de que "mi teléfono se quedó de repente sin señal" y sospechamos de un intercambio de SIM. La investigación reveló que el atacante había usado ingeniería social para engañar a un empleado de la tienda de telefonía y consiguió que se reemitiera la SIM. Se sorteó la autenticación por SMS y se sustrajeron unos 3 millones de yenes de la cuenta de criptoactivos.»

El flujo del intercambio de SIM

El atacante recopila la información personal de la víctima (redes sociales, datos filtrados)
Haciéndose pasar por la víctima, el atacante solicita la reemisión de la SIM a la operadora móvil
El número de teléfono de la víctima se transfiere a la SIM del atacante
El atacante intercepta el código de autenticación por SMS e inicia sesión en la cuenta de forma ilícita

Antecedentes históricos

El intercambio de SIM se disparó alrededor de 2018 junto con la difusión de las criptomonedas. En Estados Unidos, un incidente en 2019 en el que se secuestró la cuenta del director ejecutivo de Twitter mediante intercambio de SIM atrajo gran atención pública. Según un informe del FBI, las pérdidas por intercambio de SIM alcanzaron unos 68 millones de dólares en 2021. En Japón también se han reportado casos que aprovechan la portabilidad fraudulenta del número móvil (MNP).libros de introducción a la seguridad móvil (Amazon) permiten aprender de forma sistemática.

Métodos de defensa

La contramedida más importante es migrar de la autenticación de dos factores basada en SMS a una aplicación TOTP (Google Authenticator, Authy) o a una llave de acceso (passkey). La autenticación por SMS es vulnerable al intercambio de SIM, y el NIST tampoco recomienda usarla. También es eficaz configurar un código PIN o una frase de contraseña con la operadora móvil para que la reemisión de la SIM requiera autenticación adicional. Al proteger la cuenta en línea de la operadora móvil con una contraseña fuerte y única para cada servicio y reforzar el bloqueo del smartphone, se puede reducir notablemente el riesgo de intercambio de SIM.libros sobre seguridad de la autenticación (Amazon) también sirven como referencia.

Términos relacionados

¿Te resultó útil este artículo?

XHatena