Alguien convence a tu proveedor de telefonía para que transfiera tu número a una tarjeta SIM de su propiedad
Al igual que tu dirección de correo electrónico, gran parte de tu vida en línea está ligada a tu número de teléfono, por lo que mantenerlo seguro es vital. Y aunque podrías pensar que alguien necesitaría tu teléfono para acceder a él, ya no es así.
Explicación del intercambio de SIM
El intercambio de SIM, también llamado simjacking, es una estrategia en la que alguien convence a tu proveedor de telefonía para que transfiera tu número a una tarjeta SIM de su propiedad. Esto te hace perder el acceso a tu número de teléfono y al servicio del proveedor, mientras que el atacante obtiene acceso completo a estos en su teléfono.
Para convencer al miembro del soporte de tu operador de que cambie la tarjeta SIM, la persona que comete el fraude debe tener información sobre ti. Puede obtenerla mediante filtraciones de datos, como el uso de herramientas gratuitas para consultar datos en la dark web. También podría engañarte para que proporciones la información mediante una estafa de phishing, o incluso recopilando tu perfil en redes sociales si compartes demasiada información públicamente.
Una vez que tienen la información, llaman al número de atención al cliente de tu operador. Engañan al operador haciéndole creer que son tú y que necesitan ayuda para transferir tu número a un nuevo teléfono/tarjeta SIM. Dado que la necesidad puede ser legítima, por ejemplo, si pierdes tu teléfono, probablemente el operador no necesite mucha ayuda.
Los peligros del intercambio de SIM
No hace falta ir muy lejos para ver los problemas: alguien con tu número de teléfono podría hacerse pasar por ti ante familiares y amigos, engañándolos para que le envíen dinero a un impostor. Y como la mayoría de los servicios en línea te permiten recuperar tu cuenta con un número de teléfono, acceder a él es clave para acceder a otras cuentas tuyas.
El intercambio de tarjetas SIM es particularmente destructivo porque la autenticación de dos factores (2FA) basada en SMS (mensajes de texto) sigue siendo común. Cada vez más servicios exigen que actives la 2FA en tus cuentas, pero a veces la única opción es por SMS. Si un estafador logra intercambiar tu tarjeta SIM, se vuelve irrelevante cualquier seguridad adicional que tuvieras mediante la 2FA por SMS.
Habilita esta configuración para mantenerte seguro
Debido al riesgo de intercambio de SIM, junto con la inseguridad general de los SMS, es una medida de seguridad inteligente desactivar la 2FA basada en SMS en cualquier cuenta que lo permita. La mejor combinación de seguridad y comodidad para la mayoría de las personas son las aplicaciones de 2FA, que generan regularmente códigos que debes ingresar al iniciar sesión en un dispositivo nuevo.
No recomiendo Authy para esto; la aplicación es visualmente anticuada, ha tenido fallos de seguridad en el pasado y no permite exportar las claves si decides usar otra aplicación de 2FA más adelante. Proton Authenticator es una excelente nueva herramienta de una empresa de confianza; también puedes guardar los códigos de 2FA en tu gestor de contraseñas si no te importa tenerlos todos en un solo lugar.
Si un servicio solo ofrece autenticación de dos factores por mensaje de texto, es mejor que nada. Pero deberías elegir otra opción cuando esté disponible.
Habilitar un PIN de SIM en tu teléfono
Tanto Android como iOS ofrecen la opción de bloquear la tarjeta SIM con su propio PIN. Con esta función, cada vez que reinicies el teléfono o extraigas la tarjeta SIM, tendrás que introducir el PIN que hayas configurado (diferente del PIN de desbloqueo del teléfono).
En iPhone, lo encontrarás en Ajustes → Datos móviles . Si tienes varias tarjetas SIM, pulsa la cuenta correspondiente. Luego, selecciona PIN de la SIM . En Android, busca "PIN de la SIM" en Ajustes.
Es posible que te pidan el PIN actual; si no lo sabes, no debes adivinar, porque demasiados intentos incorrectos bloquearán tu SIM; luego tendrás que comunicarte con tu operador para arreglarlo o conseguir una nueva SIM.
El PIN SIM predeterminado para muchos operadores es "1234" o los últimos cuatro dígitos de tu número de teléfono, pero debes consultar el sitio web oficial o comunicarse con el soporte para estar seguro.
Esta opción solo es útil si crees que alguien podría robar tu tarjeta SIM física e insertarla en su teléfono. De lo contrario, te recomiendo que no la uses, ya que es otro PIN que recordar y tener que desbloquear la SIM cada vez que reinicias el teléfono es un fastidio.
Aunque las eSIM aún pueden verse comprometidas, no hay nada físico que robar. El riesgo de que alguien use tu número de teléfono en tu dispositivo sin autorización es bajo, siempre que tengas un PIN seguro para la pantalla de bloqueo.
Los ataques de intercambio de SIM pueden ocurrir de la nada, así que vale la pena tomarse el tiempo para bloquearlos. Si alguna vez pierdes la señal celular repentinamente, no puedes hacer llamadas o algo similar, contacta inmediatamente con tu operador para asegurarte de que no te hayan robado la SIM.
Y recuerda que nunca debes compartir en línea más información de la necesaria. Entre las frecuentes filtraciones de datos y la información que hacemos pública, es muy fácil que personas maliciosas la usen en tu contra.
