¿Qué es el SIM swapping? Duplicación fraudulenta de la tarjeta SIM

Aunque los vocablos en inglés son cada vez más habituales, es probable que el SIM swapping pueda resultar algo más complicado de entender. Por ello conviene apuntar que significa la suplantación o el duplicado de la tarjeta SIM. Es decir, se trata de una actividad fraudulenta que llevan a cabo delincuentes con el objetivo de lucrarse, en muchas ocasiones, sin que el propio afectado se dé cuenta de que está siendo víctima.

Así pues, se puede afirmar que el SIM swapping es una duplicación fraudulenta de la tarjeta SIM de un teléfono móvil que permite al atacante acceder al servicio telefónico de la víctima. De ese modo, puede llevar a cabo todo tipo de acciones que requieran una autenticación de múltiples factores. Un buen ejemplo de ello son aquellas operaciones que se permiten mediante una verificación que llega al teléfono a través de un SMS.

"El #SIMswapping es más común de lo que creemos. Es imprescindible reaccionar rápido ante pérdidas completas de cobertura en nuestro #smartphone y contactar con la operadora cuanto antes. Si eres víctima #denuncia en ciberestafas@guardiacivil.org1".

Con este mensaje, la Guardia Civil avisaba, en febrero de 2021, de que este tipo de estafa comenzaba a ser muy habitual, animando a los usuarios de telefonía móvil a que tuvieran cuidado y denunciaran en el momento de ser víctimas.

¿Cuál es el modus operandi del SIM swapping?

El SIM swapping se basa en la ingeniería social y en las lagunas que existen en la solicitud de un duplicado de tarjeta SIM.

"Debemos tener en cuenta que esta técnica no es consecuencia de un fallo de seguridad en nuestros dispositivos, sino en la falta de implementación de protocolos de verificación estrictos a la hora solicitar una copia de nuestra tarjeta SIM. Además, esta técnica se usa conjuntamente con otras de ingeniería social para poder obtener beneficios, ya que lo que buscan los delincuentes en este caso es acceder a los códigos de verificación que empresas, plataformas y entidades bancarias suelen enviarnos a nuestros dispositivos móviles", explican en el blog de la compañía de ciberseguridad ESET2.

Así pues, el modus operandi de este fraude se podría resumir en los siguientes pasos:

  • Los delincuentes logran datos sensibles (DNI, datos bancarios, etc.) de la futura víctima mediante técnicas de ingeniería social (ya sea por correo electrónico, llamadas telefónicas, SMS, WhatsApp…) o a través de aplicaciones fraudulentas y conexiones redes WIFI falsas.
  • A continuación, se ponen en contacto con la operadora que proporciona el servicio telefónico y solicitan un duplicado de tarjeta SIM. Esta suplantación de identidad la suelen hacer vía telefónica, aunque en ocasiones incluso se realiza de manera presencial. En el momento en el que el empleado de la operadora verifica que esos datos son reales, el delincuente se hace con un duplicado de la tarjeta.
  • Con la tarjeta SIM duplicada, el propietario pierde la cobertura, y el delincuente ya puede operar a su antojo.

¿Cómo saber si me han duplicado la tarjeta SIM?

Antes de apuntar cuáles son las prácticas delictivas más habituales cuando se realiza SIM swapping, conviene comentar el principal indicio que ha de poner en alerta al usuario: el teléfono se queda sin cobertura sin ninguna razón aparente.

¿Qué hacer si te roban el móvil o, en este caso, te lo duplican? Lo más adecuado es ponerse en contacto con la operadora. Si se ha producido el duplicado, rápidamente habrá que cambiar las claves de acceso a los servicios online, especialmente a la banca digital. Hay que señalar en este punto que nunca se deben publicar datos personales en redes sociales ni perfiles públicos, y tampoco dar acceso a los mismos a usuarios desconocidos. Asimismo, tampoco hay que proporcionarlos a través de enlaces sospechosos que llegan por email o por mensajes de texto.

¿Para qué hacen SIM swapping?

En cuanto a los principales objetivos que los delincuentes tienen al poner en práctica esta estafa, hay que mencionar los siguientes:

  • Controlar la cuenta bancaria de la víctima para hacer transferencias, realizar compras o incluso solicitar créditos.
  • Secuestrar los perfiles de sus redes sociales y perpetrar ataques contra su reputación online. También pueden chantajear a cambio de no hacer público algún contenido comprometido.

En definitiva, tienen la opción de realizar casi la totalidad de las acciones que un usuario puede llevar a cabo con su teléfono móvil. A fin de cuentas, se trata de una usurpación de identidad.