La suplantación de tarjeta SIM es una forma creciente de robo de identidad que va más allá de hackear una cuenta de correo electrónico o redes sociales. En este caso, los ladrones se apoderan de tu número de teléfono. Cualquier llamada o mensaje de texto va para ellos, no para ti.
Cualquier protección que los consumidores hayan activado para asegurar el acceso a sus cuentas financieras, como los mensajes de autenticación de dos factores, ahora pueden ayudar a los atacantes y bloquear a los propietarios.
Los expertos dicen que estos fraudes solo aumentarán y se volverán más sofisticados, mientras que los datos muestran que están en aumento. El Centro de Denuncias de Delitos en Internet del FBI informa que las denuncias de suplantación de tarjeta SIM han aumentado más del 400% de 2018 a 2021, con pérdidas personales asociadas estimadas en más de $68 millones.
Rachel Tobac, CEO de la empresa de seguridad en línea SocialProof Security, dice que las cifras probablemente son una vasta subestimación porque la mayoría de los robos de identidad no se denuncian.
¿Cómo funciona el esquema?
Los criminales utilizan información personal sobre sus víctimas —números de teléfono, direcciones, fechas de nacimiento y números de Seguro Social— obtenidos a través de violaciones de datos, filtraciones, compras en la web oscura o estafas de phishing para suplantar a las víctimas al contactar a sus operadores móviles.
Dirán que el teléfono y la tarjeta SIM originales se dañaron, se perdieron o se vendieron accidentalmente y pedirán que el número se asocie con una nueva tarjeta SIM, o eSIM, en su posesión. Una vez hecho esto, el número de teléfono pertenece a los criminales, junto con la capacidad de recibir mensajes de texto o llamadas para verificar cuentas.
La prevención es la mejor forma de protección, según los expertos en ciberseguridad. Los trucos y hábitos que los expertos en seguridad dicen que ayudan a prevenir la suplantación de tarjeta SIM son lo mismo que han estado recomendando durante mucho tiempo para la seguridad en línea en general. Incluyen lo siguiente:
Mejores hábitos de contraseña
Si tus credenciales se ven comprometidas en una violación cibernética, los hackers podrían intentar usar las contraseñas robadas para acceder a otros servicios y recopilar los datos personales que necesitan para llevar a cabo un cambio de tarjeta SIM.
Si has estado utilizando la misma información de inicio de sesión o similar para varios sitios web o cuentas en línea, asegúrate de cambiarla. Si los delincuentes roban tu contraseña de un servicio, pueden probarla en tus otras cuentas y acceder fácilmente a todas ellas. Si te resulta demasiado difícil memorizar tus diversas credenciales, considera un administrador de contraseñas.
También utiliza contraseñas seguras que incluyan letras, números y símbolos. Cuanto más largas sean, mejor. Algunos expertos dicen que deberían tener 16 caracteres.
Autenticación multifactorial sin mensajes de texto
Agrega biometría o aplicaciones y dispositivos de autenticación multifactorial que no involucren mensajes de texto. Estos métodos a menudo utilizan métodos de inicio de sesión y cifrado separados que no están vinculados a la identidad de tu teléfono, lo que los hace más difíciles para que los criminales accedan.
Historia continúa
AT&T también aconseja contactar a tu operador para establecer un código de acceso único para evitar cambios significativos en la cuenta, como trasladar números de teléfono a otro operador. Tu operador puede tener otras protecciones en su lugar para proteger contra la suplantación de tarjeta SIM, por lo que vale la pena llamarles para preguntar.
Atención a los esquemas de phishing (especialmente en el trabajo)
Los criminales utilizarán correos electrónicos o mensajes de texto para intentar engañarte y obtener tu información personal y financiera o exponer tu lugar de trabajo a posibles ataques, y es increíblemente efectivo.
En su informe anual State of the Phish, la firma de ciberseguridad Proofpoint encontró que la mayoría de las violaciones de datos en todo el mundo siguen centradas en fallas humanas.
Si sospechas que has recibido un posible mensaje de phishing o correo electrónico, repórtalo. La mayoría de las plataformas de correo electrónico populares tienen botones o funciones específicamente para reportar intentos de phishing. Si estás en el trabajo, sigue los consejos del equipo de seguridad de la información de tu empresa.
Medidas a tomar si eres una víctima
Todos los principales operadores de EE. UU. tienen páginas web que aconsejan a las víctimas cómo denunciar un fraude de tarjeta SIM.
Pero un reportero de Associated Press, que recientemente fue víctima de un ataque de este tipo, aconseja que las víctimas sean diligentes al trabajar con el operador para solucionar el problema. Presentar quejas ante la Comisión Federal de Comercio, el Centro de Denuncias de Delitos en Internet o ante los fiscales generales de sus estados puede posiblemente acelerar los esfuerzos de recuperación.
Si se robaron números de tarjetas de pago, informa a tu banco o empresa de tarjetas de crédito, explicando que tu tarjeta está en riesgo de fraude y pidiendo a la empresa que te alerte sobre cualquier actividad sospechosa.
También puedes notificar a las agencias de crédito, incluidas las tres principales: Equifax, Experian y TransUnion. Pueden congelar tu crédito, lo que restringe el acceso a tu informe crediticio y dificulta la apertura de nuevas cuentas o emitir una alerta de fraude y agregarán una advertencia a tu informe crediticio que alentará a los prestamistas a contactarte antes de prestar dinero.