Seguro que has oído hablar de SIM Swapping en los últimos meses. Pero, ¿sabes qué significa realmente? Y lo más importante, ¿cómo puedes evitarlo?
En este breve artículo te explicamos cómo la biometría te ayuda a proteger a tus clientes frente al fraude de identidad digital.
¿Qué es el SIM Swapping?
El SIM Swapping es un tipo de fraude en el que se obtiene un duplicado de una tarjeta SIM asociada a una línea de teléfono sin el consentimiento de su titular y teniendo como fin suplantar la identidad del mismo y acceder a información confidencial (aplicaciones bancarias, correos electrónicos, redes sociales…).
¿Cómo funciona?
La práctica más común de este método consiste en la visita presencial de los delincuentes a las tiendas físicas de los operadores. Allí presentan una denuncia policial donde consta que han sido víctimas de un robo, junto con una fotocopia del DNI con una imagen falsificada. En muchas ocasiones, consiguen engañar a los trabajadores y de esta manera obtienen un duplicado de la tarjeta SIM.
Otra vía utilizada es la llamada telefónica en la que se hacen pasar por el titular de la línea. Los delincuentes engañan a los operadores de telecomunicaciones informando al servicio de atención al cliente que les han robado el móvil y necesitan un duplicado de tarjeta. Tras un método de verificación basado en preguntas acerca de datos personales, obtienen el duplicado que se envía a la dirección que solicitan.
¿Es una práctica común?
En España, en 2022 se impusieron 5.82 millones de euros en multas a varias operadoras de telecomunicaciones por duplicados fraudulentos de tarjetas SIM al considerar la Agencia Española de Protección de Datos (AEPD) que sus políticas de seguridad son insuficientes para evitar duplicados fraudulentos, lo que está impidiendo proteger adecuadamente la seguridad de sus clientes.
Estas sanciones son el resultado de un procedimiento abierto en 2019 a petición de particulares, que interpusieron su reclamación ante la Agencia de Protección de Datos. Entre las infracciones denunciadas se revelan sustracciones de hasta 17.265€ de una cuenta corriente debido a un duplicado de una tarjeta personal.
Recientemente, en marzo de 2023, el Ente Nacional de Comunicaciones (ENACOM) de Argentina, aprobó un nuevo reglamento con el que se reforzarán las condiciones de seguridad para el alta de los usuarios, y también se incorporarán mecanismos de seguridad, como la validación de datos biométricos, para el caso de modificaciones en las condiciones comerciales o técnicas de las líneas de telefonía móvil consideradas críticas o sensibles, entre las que se encuentra expresamente el cambio de SIM, para evitar el fraude de SIM Swapping.
Este cambio regulatorio se produce en un “escenario de crecimiento exponencial en la comisión de estafas, robos y otros delitos, efectuados a través de líneas de telefonía móvil” en el país, de acuerdo con el ENACOM, , Ministerio De Seguridad De La Nación, la justicia nacional y el Registro Nacional De Las Personas (RENAPER).
Las operadoras de Argentina tendrán 60 días desde la publicación de la resolución correspondiente para implementar los nuevos sistemas de verificación de la identidad de los usuarios titulares de las líneas móviles, ya sea de forma presencial o remota.
Otras geografías como México también denuncian una alta preocupación por el Sim Swapping, esta modalidad de fraude fue reportada por la CONDUSEF, Profeco, el INAI y el Instituto Federal de Telecomunicaciones; y ha sido motivo de una alerta de seguridad publicada por la Policía Cibernética de la Secretaría de Seguridad Ciudadana del Gobierno de la Ciudad de México.
¿Por qué un SMS no es un método seguro para verificar la identidad del usuario?
Al conseguir un duplicado de nuestra SIM, los estafadores automáticamente tienen acceso, además de contactos e información almacenada en la SIM, a todas las aplicaciones y servicios que tengan el envío de un SMS como procedimiento de recuperación de clave; es decir, tendrían acceso y control de cuentas bancarias, redes sociales y cuentas de correo electrónico entre otros. Y, de la misma forma, a todas las operaciones que tengan como método de confirmación el envío de un SMS; como compras online, transferencias o solicitudes de préstamos.
¿Cuál es el origen del problema? Las operadoras de telecomunicaciones pueden estar utilizando métodos no suficientemente robustos a la hora de verificar la identidad de los usuarios para permitir un duplicado de una SIM. Además, la tendencia de las entidades bancarias a utilizar un SMS como segundo factor es un problema en sí mismo; ya que con simplemente el robo del terminal los delincuentes tendrían acceso a los SMS y, consecuentemente, a las cuentas bancarias de los usuarios.
La autenticación reforzada es una autenticación donde se exige utilizar al menos dos factores de autenticación (2FA) elegidos entre estos tres grupos:
- Posesión (algo que tienes): Se trata de la forma más tradicional de acceder a un servicio que nos pertenece, y es a través de una llave o acreditación física que poseemos; como una tarjeta de débito o un mensaje a un móvil. El gran riesgo de esta vía de autenticación es la posibilidad de perder esta credencial, o de que alguien se haga pasar por nosotros simplemente por el hecho de tenerla. Como se observa en los casos de SIM Swapping “lo que tenemos” no es un factor de autenticación suficiente para evitar casos de suplantación de identidad.
- Conocimiento (algo que sabes): algo que el usuario conoce, como una contraseña o código de acceso. En este caso, no se trata de algo físico que podamos perder, pero sí es un factor de autenticación muy frágil dado el riesgo de que nos olvidemos o incluso de que otra persona averigüe por diferentes métodos esa información, pudiendo suplantar nuestra identidad.
- Inherencia (algo que eres): algo inherente a la persona, como su cara, voz o huella dactilar; es decir, nosotros mismos y todo aquello que nos hace únicos.
¿Cómo evitar el fraude del SIM Swapping?
Las operadoras afectadas por la multa impuesta por la AEP remarcaban que, aunque parte de la responsabilidad de la seguridad recae en bancos y entidades de crédito, necesitan actualizar y reforzar sus protocolos de forma contínua para mejorarlos y optimizarlos.
Los factores biométricos (voz o cara) son la solución. Se trata de factores inherentes e incapaces de ser suplantados, lo que los hace altamente seguros. La biometría es:
- Privada: la biometría pertenece a un individuo y a nadie más. No puede ser suplantada, clonada, ni interceptada.
- Segura: permite pasar de la presunción a la certeza. Tenemos la seguridad de que el usuario es quien dice ser.
- Voluntaria: es el usuario quien tiene la decisión de hacer uso de ella.
Por ello, ya son muchas las empresas de telecomunicaciones que han incorporado la biometría en sus procesos de alta y autenticación de clientes para aumentar la seguridad y experiencia de los mismos.
- Ventocom: Alta de clientes online mediante la activación de la tarjeta SIM a través de biometría facial.
- Deutsche Telekom: autenticación de clientes en 3 segundos, en cualquier idioma, con una precisión del 99% y tecnología anti-fraude.
- Euskaltel: altas y bajas 100% online con tecnología de verificación de documentos y tecnología anti-spoofing para evitar casos de fraude.
Buenas prácticas de seguridad para evitar el SIM Swapping
Además del uso de la biometría, otras buenas prácticas que puedes aplicar para evitar ser víctima de SIM Swapping son:
- No responder a números de teléfono desconocido
- No compartir nunca información personal o contraseñas por SMS
- Apagar el móvil todos los días para evitar el almacenamiento de virus
- No acceder a links en mensajes de personas extrañas o desconocidas
