Cómo funciona la técnica de SIM swapping y qué podemos hacer para mitigar los riesgos
11 de Enero de 2023Escribe Marcela Pallero, directora de Seguridad en TIC de la Fundación Sadosky
La técnica de SIM swapping se refiere a una modalidad de ataque en la que se duplica el chip de una operadora telefónica por la solicitud de alguien que no es el legítimo titular de la cuenta. Esta modalidad requiere cierto uso de ingeniería social. Es decir, técnicas que sirven en este contexto para recolectar información personal del titular que se va a usar cuando la operadora quiera asegurarse de que quien solicita el nuevo chip es su titular. Este es el proceso que falla en primer lugar, porque si las preguntas pueden averiguarse fácilmente, significa que cualquier persona puede suplantar nuestra identidad y quedarse con nuestra línea.
Para resolver este problema, las operadoras deberían tener procesos más seguros. En el caso de que alguien obtenga el control de nuestra línea mediante la solicitud de un chip, el usuario legítimo va a notar la falta de servicio desde la operadora telefónica, y en estos casos la recomendación es comunicarse inmediatamente para saber qué pasó y aclarar si se trata de SIM swapping.
Se debe tener en cuenta que durante el periodo por el que se perdió el control de la línea, ya sea unos minutos o días, deberán cambiarse todas las contraseñas y códigos de seguridad que quedaron vulnerables, porque el suplantador pudo haber descargado información a la que tuvo acceso. Además de analizar qué información quedó expuesta en el incidente. Todo servicio que use como método de autenticación un SMS queda vulnerable con esta técnica.
Por otro lado, si quien suplanta nuestra identidad logra hacerse de un chip con nuestra línea móvil, mientras no sea detectado y anulado, podría tener acceso a toda la información de aplicaciones o servicios que dependen de la línea o de un SMS para cambiar las claves de acceso, como información bancaria, aplicaciones de citas, de mensajería como WhatsApp, Telegram o Tinder, entre otras. ¿Es siempre así? No, la gran mayoría de aplicaciones dispone de mecanismos de autenticación para asegurar la validación de la identidad: es decir, que quien accede a una cuenta es realmente quien dice ser, como por ejemplo: la autenticación en dos pasos.
La autenticación en dos pasos implica que no alcanza con ingresar con usuario y contraseña para el acceso sino una nueva instancia de validación, como una contraseña adicional que se usa para casos como la instalación de una aplicación en un nuevo dispositivo o para la asociación de un dispositivo a la aplicación.
Las características y posibilidades en materia de seguridad y privacidad han mejorado con los años y lo siguen haciendo, así como en funcionalidades. La posibilidad de usar las aplicaciones de mensajerías en una PC o notebook brinda una mejor experiencia para determinados usos pero también incorpora riesgos.
Telegram, por ejemplo, almacena nuestra información en sus servidores, lo que significa que cuando cambiamos de teléfono, bajamos la aplicación y nos registramos, podemos acceder a todas las conversaciones. Esto es así siempre que no hayamos borrado específicamente una conversación, o la hayamos creado como secreta (modalidad en la que se borran automáticamente y no deja copias en el servidor) o tengamos activada la autodestrucción. Con ésta última opción, todos los mensajes se eliminarán de acuerdo a la preferencia seleccionada: en 1 día, 1 semana o 1 mes, etc., en cuyo caso no podrán ser recuperados.
Esta técnica se utiliza con varias finalidades, como espiar mientras no detectemos que alguien más tiene acceso a las conversaciones, o para acceder a cuentas de bancos, de correos, como se ha mencionado, porque al tener el control de la línea, quien suplanta nuestra identidad, además puede cambiar las contraseñas de los distintos servicios, los códigos de validación cuando se utiliza el SMS como segundo paso en la autenticación, y así se puede tomar el control de varias aplicaciones críticas.
En el caso de Telegram, tener toda la información en sus servidores permite que alguien que obtenga nuestro chip descargue la aplicación que se valida con el pin que llega a la misma línea por SMS y tenga acceso a los chat almacenados. Por eso es tan importante la verificación en dos pasos activada, que en esta aplicación implica proteger la cuenta con una contraseña, que servirá como una barrera adicional al intentar activar la cuenta en un nuevo dispositivo o al intentar usarlo en una PC o notebook.
No obstante, otra posibilidad que también permite que alguien acceda de manera ilegítima a nuestras conversaciones en Telegram, sin que haya duplicación de SIM, es ante un robo físico del móvil, mediante la vinculación de la aplicación a un navegador web con el número de teléfono y usando el código de las notificaciones de SMS. Estas acciones permiten abrir la aplicación en un navegador web y mientras esa sesión se mantenga activa, quien robó el móvil podrá tener acceso a toda la información almacenada.
Para evitar los abusos de las funcionalidades hay opciones en los ajustes de la aplicación que ayudan a mantener nuestra privacidad, como ocultar nuestro número de teléfono a los contactos, o si “estamos en línea”, o limitar quién puede llamarnos sólo a los contactos registrados, o simplemente a nadie.
Existe en Telegram una opción para ver las sesiones iniciadas o los intentos de inicio de sesión en otros dispositivos a los que se haya intentado vincular la aplicación. Desde esa opción de “Dispositivos” pueden cerrarse otras sesiones o seleccionar la opción de cierres de sesión automática ante la inactividad de la cuenta.
En resumen, las opciones varían entre navegadores de PC o notebook y aplicaciones móviles, pero en general las recomendaciones más importantes son:
- Configurá un pin de acceso al dispositivo móvil y que las notificaciones no queden visibles con el dispositivo bloqueado.
- Ante sospecha de haber sido víctima de la técnica de SIM swapping, cuando te quedaste sin cobertura, comunicate con tu operadora y preguntale. De confirmarse, cambiá todas las contraseñas de tus servicios o aplicaciones que uses en el móvil y hacé la denuncia policial.
- En todos los casos es conveniente activar la verificación en dos pasos para la autenticación. Telegram y WhatsApp solicitan crear un PIN o clave, que será requerido cuando se quieran registrar en un nuevo dispositivo.
- Verificá las sesiones activas de tus aplicaciones de mensajería web (como WhatsApp o Telegram) para controlar que sean las que vos abriste o, mejor, cerralas cuando dejes de usarlas.
- Dependiendo de la aplicación y tus necesidades, podés limitar que tus contactos vean el número de teléfono o te vean si estás en línea. Navegá tus opciones de privacidad y elegí con cuidado.
- Telegram y WhatsApp incluyen opciones de bloqueo con pin y/o huella para impedir el acceso a tus chats. Tenelo en cuenta para proteger tu privacidad.
(*) Marcela Pallero: Directora de Seguridad en TIC de la Fundación Sadosky