Expuestos al SIM swapping: es hora de subir el listón de seguridad al conceder duplicados de tarjeta

La digitalización, el avance tecnológico y el paso de los años en general han ido configurando un escenario en el que nuestro teléfono móvil es la identificación última para que multitud de servicios confirmen que somos quienes decimos ser. El DNI electrónico lleva con nosotros desde 2006 y sigue sin ser nada parecido a algo sencillo y universal con lo que identificarnos digitalmente. Hasta tenemos el servicio CL@VE para identificarnos con nuestro smartphone. A falta de tarjeta, bueno es el móvil.

Este escenario, bastante cómodo y conveniente, tiene un lado perverso: dejarnos en manos del móvil hace que cualquiera que tome su control puede hacerse pasar por nosotros. Y no hace falta que sea físicamente, basta con tener una SIM asociada a nuestro número. Y ese es posiblemente el eslabón más débil de la cadena. Donde entra el SIM swapping.

Una SIM con nuestro número = vía libre en nuestro banco

El paso de los años también nos ha dejado casos de pesadilla en los que una persona cualquiera de pronto se quedaba sin cobertura, sin línea activa (la antesala del horror), para descubrir poco después que su cuenta bancaria se había quedado a cero.

El empleado de tienda de operadora, el eslabón más débil ante el SIM swapping

Todas estas historias tienen como epicentro del mal el momento en que alguien se hace pasar por nosotros, normalmente en una tienda física de la operadora en cuestión. Un empleado de la misma es quien debe cerciorarse de que el DNI presentado es auténtico y la persona que lo entrega coincide con la que aparece en la foto del documento, pero en la práctica, en algunas ocasiones, este control falla.

Una vez el usurpador de identidad tiene acceso a una SIM asociada a nuestro teléfono móvil, y ya conoce nuestro DNI, tiene vía libre para acceder a nuestra banca digital pidiendo el restablecimiento de la contraseña, vía SMS. El SMS como principio y como final.

La intersección entre la seguridad y nuestro teléfono móvil ha pasado por varias fases. El 11-M fue el detonante para empezar a exigir identificar vía DNI a cualquier persona que quisiera dar de alta un número de teléfono, luego la implantación masiva del móvil dio alas a los bancos para empezar a reemplazar las ya extintas tarjetas de coordenadas por los SMS de verificación. El auge del SIM swapping en los últimos años debería haber servido para empezar a requerir protocolos de seguridad mucho más fuertes a la hora de duplicar tarjetas SIM. Tratar este trámite como lo que es: una gestión que si no se hace de manera exhaustiva, cotejando el rostro del documento con la misma precisión que en un control fronterizo ruso, puede desembocar en usurpaciones de identidad que a su vez desemboquen en robos y otros actos delictivos graves.

En 2022, la AEPD (Agencia Española de Protección de Datos) multó a las cuatro grandes operadoras españolas por no haber protegido con la suficiente diligencia los datos personales de sus clientes y no haber aplicado los mecanismos necesarios para comprobar la identidad del titular que estaba solicitando una tarjeta SIM. Movistar tuvo que pagar 900.000 euros, Orange, 700.000; MásMóvil 200.000 y Vodafone 3.940.000.

En el caso de esta última, la operadora británico señaló como culpables a los delincuentes y a sus empleados por haber cometido fallos humanos, pero la AEPD entendió que la empresa actuó de forma negligente al tomar medidas correctoras únicamente cuando la investigación comenzó.

Las consecuencias fueron transferencias desde su cuenta bancaria o envíos de dinero mediante Bizum por cantidades de hasta 30.000 euros (hasta 500 en el caso de Bizum) y obtención de préstamos por hasta 43.000 euros a nombre de otra persona.

A raíz de aquello, varias operadoras decidieron tomar medidas de la mano del ente sancionador: la AEPD aprobó la creación de un 'Código de conducta de autocontrol para el tratamiento de datos en la actividad publicitaria' al que se han adherido Movistar, Tuenti, O2, Orange, Jazztel, Amena, Simyo, Vodafone, Lowi, Ono, Másmóvil, Yoigo, Lebara, Llamaya, Happy Móvil y Pepephone; todas ellas de forma voluntaria... pero vinculante. No obstante, este código de conducta, que entra en vigor el 28 de enero de 2023, está encaminado a que un cliente pueda ser atendido rápidamente por asuntos ocurridos durante el último año y hayan sido reclamados, pero sin que hayan llegado todavía a juicio.


Medidas post-sanciones

¿Qué han hecho las operadoras en materia de prevención del SIM swapping desde aquellas sanciones? Desde Másmóvil nos indican que han introducido grupos de gestión de los cambios de SIM especializados dependientes directamente del Departamento de Prevención del Fraude, que dan soporte en horario 24/7 y analizan dicho proceso y cualquier patrón del mismo que se salga del patrón establecido.

"Existen otra serie de medidas desde el punto de vista de IT, así como mejoras de procesos en cuanto al refuerzo de la seguridad, que debido a la necesidad de confidencialidad de las mismas para asegurar su efectividad, preferimos mantener a nivel interno y no darles publicidad", indica la propietaria de Yoigo o Pepephone. "Todo ello ha dado como resultado un exhaustivo control del proceso de cambio de SIM en todos nuestros canales y a minimizar al máximo cualquier práctica potencialmente fraudulenta relativa al SIM swapping, considerando óptimos los resultados obtenidos con las medidas implantadas".

Desde Orange, operadora que está en trámites de ser comprada por Másmóvil logrando erigirse así en la primera teleco nacional por número de líneas móviles como de fibra y ADSL, aunque no por facturación, explican que trabajan activamente en prevenir riesgos en cuanto a usurpación de identidad, y añaden una medida concreta, la solución "SIM Swap", "que permite conocer la fecha de actualización de la SIM, un dato relevante para determinar el posible riesgo de que sus clientes hayan sido víctimas de una usurpación", dicen desde la teleco francesa.

¿Qué dicen en Telefónica? "Movistar ha adoptado diversas medidas para prevenir el fraude por SIM swapping. Hemos dotado a nuestros sistemas y aplicaciones de controles de seguridad que prevendrán y/o detectarán malos usos derivados de prácticas fraudulentas de SIM Swapping. Además, estamos mejorando todos nuestros procesos y canales de atención para que las operaciones que nuestros clientes realicen a través de ellos cada vez sean más seguras". Desde Xataka también contactamos con Vodafone de cara a obtener sus declaraciones, sin haber obtenido respuesta.

En el MWC 2023, las operadoras presentaron un conjunto de APIs en forma de GSMA Open Gateway entre cuyos beneficios potenciales también estará la seguridad de cara al SIM swapping.

Mejores herramientas que los SMS o una doble verificación humana para pedir un duplicado

Los entornos bancarios, que suelen llevar la delantera en cuanto a seguridad, vieron cristalizar el último paquete de medidas en torno a la verificación de la identidad con PSD2, la directiva de servicios de pago de segunda generación que entró en vigor en 2019. No estaría mal algo similar en el sector de las telecomunicaciones: una estrategia que sirva para anular o al menos complicar mucho más el SIM swapping, uno de los grandes males de nuestros días, una lotería macabra que a quien le toca le cuesta como mínimo unos días malos, y quizás muchos euros perdidos por el camino, cuando no tener que hacer frente durante mucho tiempo a procesos judiciales para resolver préstamos no solicitados.

En este sentido, una práctica ajena a las telecos pero que facilita enormemente el SIM swapping es la de solicitar una foto del DNI para cualquier transacción online, incluyendo operaciones de compraventa de productos de segunda mano. En algunos casos, la intención última del vendedor no es vender el producto, sino conseguir el DNI de algún incauto, para lo que se puede ayudar incluso de poner un precio demasiado barato para el producto en cuestión. Algo que facilita su venta rápida y disuade al comprador de hacer demasiadas preguntas o ponerse pejiguero.

Tampoco estaría de más, volviendo a las telecos, apoyarse en un proceso más seguro que los SMS como método de autenticación de la identidad. Herramientas de autenticación en dos pasos, como Google Authenticator (Microsoft, Apple y muchos otros también tienen las suyas propias), pueden ser un gran punto de partida. Algo que no sea tan pasivo como recibir un SMS sin más.

Otra idea: crear la opción de añadir más de un titular a una línea. O un titular y un autorizado, como en las cuentas bancarias, y que sea necesario una doble validación para algo tan delicado como un duplicado de SIM. Al menos respondiendo telefónicamente y dando datos sobre la línea que confirmen que el autorizado también es quien dice ser.

Una práctica, por cierto, que también serviría para agilizar ciertos trámites, como un cambio de tarifa o una portabilidad, a personas que no se defienden bien en entornos así, como algunas personas mayores o gente impedida que no puede salir de casa. La doble verificación humana también podría ser por parte del operador, del personal responsable de hacerla en tienda, si bien esto podría complicarse en muchas tiendas de un solo empleado por turno o donde el socio se autoemplea en solitario. Será por ideas y posibilidades.

En definitiva, avances que hagan más segura nuestra línea móvil. Sobre todo ahora que llevamos años viendo los estragos que puede causar un duplicado de SIM que cae en las manos equivocadas.

Imagen: CC

Ver todos los comentarios en https://www.xataka.com

VER 29 Comentarios

Portada de Xataka