La estafa del SIM swapping es un método bastante usado por los cibercriminales y que ha aumentado durante los últimos años. Consiste en acceder a cuentas bancarias o redes sociales de la víctima mediante un duplicado o clonación de la tarjeta SIM del móvil. Las operadoras están intentando acabar con este fraude, pero hay varios motivos por los que les está resultando difícil.
En Estados Unidos, por ejemplo, la Comisión Federal de Comunicaciones implantó una nueva norma el pasado noviembre por la que obliga a todos los operadores a asegurar métodos de autenticación de un cliente. Asimismo, obligó a las empresas a notificar siempre a los clientes cuando su número de teléfono se traslade a otro dispositivo.
En España, por otro lado, las compañías también están interesadas en acabar con esta estafa, ya que a cuatro grandes telecos les ha costado un dinero importante. Hace un par de años, la Agencia Española de Protección de Datos (AEPD) multó a Movistar, Vodafone, Orange y MásMóvil por no hacer nada por detener esta práctica. Más recientemente, Digi se ha ganado varias multas por entregar SIMs a estafadores.
Dicho todo esto, y pese a que los operadores intentan ponerse las pilas con el tema, hay varios clavos sueltos que siguen permitiendo a los estafadores ejecutar esta estafa.
Convencer a los propios empleados
Para que un estafador pueda obtener un duplicado de la tarjeta SIM, debe convencer a un empleado, ya sea en tienda física o mediante centralita, de que es la persona propietaria de la misma. Para ello, pueden haber obtenido datos de la víctima previamente desde Internet o habiendo realizado un phishing con el que obtener nombre, DNI o domicilio.
No obstante, normalmente los estafadores tratan de hacer esto de otra manera, mucho más efectiva que la de tratar de engañar al trabajador de atención al cliente.
En realidad, muchos criminales simplemente tratan de convencer a algunos de estos empleados para que tomen parte en la estafa. Hay que tener en cuenta que, en muchos casos, las operadoras utilizan plantillas deslocalizadas en otros países, como puede ser en Latinoamérica o en países asiáticos.
De esta forma, en el momento de tener que hacer una gestión como puede ser un cambio de SIM, tal vez la persona de la que dependamos sea un trabajador con un salario muy bajo y situación precaria que, de ser interpelado por una banda criminal, podría colaborar con ellos ofreciendo entregar los números de teléfono a cambio de alguna recompensa.
En España, la Guardia Civil detuvo a principios de este mes a siete estafadores acusados de robar hasta 3.381.000 millones de euros mediante el SIM swapping. Su base de operaciones se encontraba en Venezuela.
En las últimas semanas, trabajadores de las operadoras estadounidenses T-Mobile y Verizon han comunicado haber sido contactadas por cibercriminales para pedirles ayuda en estas tramas a cambio de una determinada cuantía.
Implantar mayores controles de seguridad
En Estados Unidos, un caso reciente sirve de ejemplo para explicar este problema de colaboraciones entre trabajadores de las operadoras y criminales. Sin embargo, y hablando concretamente de este país, los clientes que han intentado denunciar a las operadoras no han tenido éxito en los procesos judiciales, ya que el robo de identidad se presupone como riesgo a correr al aceptar los servicios de telefonía.
Por tanto, las operadoras se enfrentan a dos problemas. Uno es ser capaces de autentificar correctamente a los clientes cuando solicitan hacer un cambio de SIM mediante la mejor tecnología disponible. Esto, sobre todo, teniendo en cuenta que estos procesos ahora se hacen online, haciendo la identificación más difícil que a través de un servicio presencial. El otro, asegurar que los empleados no tienen incentivos suficientes como para jugársela y colaborar con criminales.
