Estafa de intercambio de SIM

Fraude de robo de cuentas de teléfonos celulares

Una estafa de intercambio de SIM (también conocida como estafa de portabilidad , división de SIM , ^[1] simjacking y intercambio de SIM ) ^[2] es un tipo de fraude de apropiación de cuentas que generalmente apunta a una debilidad en la autenticación de dos factores y la verificación de dos pasos en la que el segundo factor o paso es un mensaje de texto (SMS) o una llamada realizada a un teléfono móvil.

Método

El fraude se aprovecha de la capacidad del proveedor de servicios de telefonía móvil de transferir sin problemas un número de teléfono a un dispositivo que contiene un módulo de identidad del suscriptor (SIM) diferente. Esta función de portabilidad de números móviles se utiliza normalmente cuando se pierde o se roba un teléfono, o cuando un cliente cambia de servicio a un nuevo teléfono.

La estafa comienza cuando un estafador recopila datos personales de la víctima, ya sea mediante el uso de correos electrónicos de phishing , comprándolos a delincuentes organizados, ^[3] aplicando ingeniería social directamente a la víctima, ^[4] o recuperándolos de violaciones de datos en línea . ^[5]

Con estos datos, el estafador se pone en contacto con el proveedor de telefonía móvil de la víctima y utiliza técnicas de ingeniería social para convencer a la compañía telefónica de que transfiera el número de teléfono de la víctima a la tarjeta SIM del estafador. Para ello, por ejemplo, se hace pasar por la víctima utilizando datos personales para parecer auténtico y afirmando que ha perdido su teléfono. En algunos países, en particular la India y Nigeria, el estafador tendrá que convencer a la víctima de que apruebe el cambio de tarjeta SIM pulsando el 1. ^{[6] [7] [4]}

Al recuperar la información de la víctima, los atacantes comúnmente se hacen pasar por ellos mientras se comunican con los servicios de soporte técnico de su proveedor de telecomunicaciones e intentan convencer a los empleados de que cambien el número de teléfono de la víctima a su tarjeta SIM. ^{[8] [9]} En algunos casos, sin embargo, los empleados de las empresas de telecomunicaciones han sido sobornados por los atacantes para cambiar directamente los números SIM por ellos. ^{[10] [5]} Los atacantes han buscado empleados para empresas como T-Mobile y Verizon a través de las redes sociales o directorios de empleados en un intento de contratarlos, prometiéndoles una cantidad fija de dinero en criptomonedas por cada número de teléfono que transfieran para el atacante. ^{[11] [12]}

Una vez que esto sucede, el teléfono de la víctima perderá la conexión a la red y el estafador recibirá todos los SMS y llamadas de voz destinados a la víctima. Esto le permite al estafador interceptar contraseñas de un solo uso enviadas por mensajes de texto o llamadas telefónicas al número de la víctima y, de este modo, subvertir los métodos de autenticación de dos factores que dependen de ellas. Dado que muchos servicios permiten restablecer contraseñas con solo acceso a un número de teléfono de recuperación, la estafa permite a los delincuentes obtener acceso a casi cualquier cuenta vinculada al número pirateado. Esto puede permitirles transferir fondos directamente desde una cuenta bancaria, extorsionar al propietario legítimo o vender cuentas en el mercado negro para el robo de identidad.

Incidentes

Se han producido varios ataques de alto perfil que utilizan el intercambio de SIM, incluidos algunos en los sitios de redes sociales Instagram y Twitter . En 2019, la cuenta de Twitter del exdirector ejecutivo de Twitter, Jack Dorsey, fue pirateada mediante este método. ^{[13] [14]}

En mayo de 2020, se presentó una demanda contra Ellis Pinsky , un estudiante de último año de la escuela secundaria Irvington High School en Irvington, Nueva York , quien fue acusado junto con otros 20 co-conspiradores de estafar al inversor en moneda digital Michael Terpin, el fundador y director ejecutivo de Transform Group, por 23,8 millones de dólares en 2018, cuando el acusado tenía 15 años, mediante el uso de datos robados de teléfonos inteligentes mediante intercambios de SIM. La demanda se presentó en un tribunal federal en White Plains, Nueva York y pidió el triple de daños. ^{[15] [16] [ necesita actualización ]}

A principios de 2022, el FBI de Estados Unidos informó de un marcado aumento de las pérdidas económicas de los consumidores en 2021, y que continuarán en 2022, debido a este tipo de fraude. ^{[17] [18]} Solo en 2021, las pérdidas fueron cinco veces mayores que las de los tres años anteriores sumados: “El FBI dice que las víctimas perdieron 68 millones de dólares por esta estafa basada en tarjetas SIM en 2021, en comparación con solo 12 millones de dólares en el período de tres años entre 2018 y 2020”. ^[17] El FBI recibió 1.600 denuncias sobre intercambio de tarjetas SIM en 2021, un marcado aumento con respecto a los tres años anteriores. Los intercambios se producen rápidamente una vez que los estafadores tienen suficiente información para persuadir a un operador de telefonía móvil para que asigne un número de teléfono robado a su teléfono; los robos de dinero ocurren cuando los ladrones reciben los códigos de dos factores enviados al propietario correcto del número de teléfono. ^[18]

En Corea del Sur , se han documentado presuntos incidentes de ataques de intercambio de tarjetas SIM desde principios de 2022. El patrón común incluye víctimas que enfrentan interrupciones abruptas en sus servicios móviles, junto con una notificación que sugiere un cambio. Como resultado, las personas afectadas descubren que sus cuentas bancarias y de criptomonedas han sido comprometidas. ^[19]

Referencias

1. admin (9 de mayo de 2014). "Alerta: cómo puede ser estafado con un método llamado división de SIM". Action Fraud . Consultado el 22 de agosto de 2018 .
2. "Búsqueda NPR: NPR". www.npr.org .
3. Tims, Anna (26 de septiembre de 2015). "El 'cambio de SIM' permite a los estafadores acceder a todas las áreas a través de su teléfono móvil". The Guardian . Consultado el 22 de agosto de 2018 .
4. "Muchos habitantes de Bengala pierden dinero en efectivo debido al fraude con el intercambio de tarjetas SIM - Times of India". The Times of India . Consultado el 22 de agosto de 2018 .
5. Murphy, Margi; Bennett, Drake (4 de agosto de 2023). "Los jugadores adolescentes robaron 24 millones de dólares en criptomonedas y luego se atacaron entre sí". Bloomberg Businessweek . Consultado el 11 de mayo de 2024 .
6. "Expertos señalan a personas con información privilegiada en las empresas de telecomunicaciones por el creciente fraude en el intercambio de tarjetas SIM - Nigerian CommunicationWeek". nigeriacommunicationsweek.com.ng . 14 de julio de 2018 . Consultado el 22 de agosto de 2018 .
7. "Se le solicitará que presione 1 o autentique este Swap". Gadget Now . Consultado el 22 de agosto de 2018 .
8. Hartmans, Avery (12 de abril de 2023). "Un hacker me estafó 10.000 dólares. La estafa resultó ser brillante y aterradora". Business Insider . Consultado el 11 de mayo de 2024 .
9. Franceschi-Bicchierai, Lorenzo (9 de julio de 2020). "Verizon agrega protección contra ataques de intercambio de SIM en la aplicación móvil". Vice . Consultado el 11 de mayo de 2024 .
10. Franceschi-Bicchierai, Lorenzo (13 de mayo de 2019). "Contratistas de AT&T y un empleado de Verizon acusados ​​de ayudar a una red criminal de intercambio de tarjetas SIM". Vice News . Consultado el 23 de enero de 2020 . Entre los presuntos delincuentes también se encontraban dos ex empleados contratados de AT&T y un ex empleado de Verizon, que ayudaron a los presuntos delincuentes al proporcionar información privada de clientes a cambio de sobornos, según documentos judiciales.
11. Franceschi-Bicchierai, Lorenzo (3 de agosto de 2018). "Cómo los delincuentes reclutan a empleados de telecomunicaciones para que les ayuden a secuestrar tarjetas SIM". Vice . Consultado el 11 de mayo de 2024 .
12. TRUȚĂ, Filip (17 de abril de 2024). "Los estafadores tientan a los empleados de telecomunicaciones con ofertas de soborno de 300 dólares a cambio de ayuda para cambiar la tarjeta SIM". Bitdefender . Consultado el 11 de mayo de 2024 .
13. Barrett, Brian. "Cómo proteger su teléfono contra un ataque de intercambio de SIM". Wired – vía www.wired.com.
14. Brandom, Russell (31 de agosto de 2019). "La técnica espantosamente simple que secuestró la cuenta de Twitter de Jack Dorsey". The Verge .
15. Stempel, Jonathan (7 de mayo de 2020). "Inversor estadounidense en criptomonedas demanda a adolescente de los suburbios de Nueva York por 71,4 millones de dólares por presunta estafa". Reuters . Consultado el 4 de enero de 2021 .
16. Nadeau, Barbie Latza (8 de mayo de 2020) "Una joven de 15 años de los suburbios lideró a 'genios informáticos malvados' en un robo de criptomonedas por valor de 24 millones de dólares: demanda" Daily Beast
17. Winters, Mike (19 de febrero de 2022). "Esta estafa de la tarjeta SIM engañó una vez a Jack Dorsey: aquí se explica cómo evitarla". CNBC . Consultado el 19 de febrero de 2022 .
18. Otis, Ginger Adams (18 de febrero de 2022). "Los ataques de intercambio de tarjetas SIM, muchos de ellos dirigidos a cuentas criptográficas, están en aumento". The Wall Street Journal . Consultado el 19 de febrero de 2022 .
19. Kim, Myounghoon; Suh, Joon; Kwon, Hunyeong (agosto de 2022). "Un estudio de las tendencias emergentes en el delito de intercambio de tarjetas SIM y contramedidas efectivas". 2022 IEEE/ACIS 7th International Conference on Big Data, Cloud Computing, and Data Science (BCD) . págs. 240–245. doi :10.1109/BCD54882.2022.9900510. ISBN 978-1-6654-6582-3.S2CID252625262  .​