Así que piensas que eres bastante inteligente en seguridad. Utiliza contraseñas complejas para todas sus cuentas en línea, y utiliza la autenticación de dos factores a través de su teléfono inteligente para una capa adicional de protección cuando se trata de la banca en línea. Sabe que esto significa que nadie puede acceder a sus cuentas bancarias sin tener acceso físico a su teléfono, incluso si estuvieran en posesión de su nombre de usuario y contraseña.

Y luego inicia sesión en su cuenta un día y descubre que alguien le ha robado miles de libras y su banco se niega a creerlo, ya que la transacción se realizó cuando ingresó a su cuenta. Y debe haber sido usted, porque enviaron un código de acceso único a su teléfono que se utilizó para iniciar sesión.

Podrías pensar que sacar semejante crimen fue el trabajo de hackers súper inteligentes, o incluso un trabajo interno. Entonces descubres que todo lo que debían hacer los delincuentes era llamar a tu proveedor de telefonía móvil..

Esto se conoce como SIM Swap Fraud, y es sorprendentemente fácil de llevar a cabo. Cuando tiene éxito, las víctimas pueden descubrir que sus ahorros de toda la vida han sido robados, con poco recurso. Dado que los teléfonos inteligentes se convierten en una herramienta esencial para asegurar sus transacciones bancarias en línea, es una idea aterradora que un delincuente cibernético puede tomar el control de su teléfono con bastante facilidad, gracias a las prácticas de seguridad muy poco estrictas de algunos operadores móviles..

Cómo funciona un intercambio de SIM

Los delincuentes cibernéticos exploran Internet para obtener detalles sobre usted: probablemente haya publicado su nombre completo, dirección, fecha de nacimiento, dirección de correo electrónico y detalles de los miembros clave de la familia en las redes sociales en algún momento. Un perfil de Facebook abierto puede dar pistas a un atacante en cuanto a su nivel de riqueza (¿ya ha subido esas fotos de esas vacaciones de navegación en el Caribe?) Y probablemente haya publicado su título de trabajo y para quién trabaja en LinkedIn. Estos le dan a los atacantes pistas vitales que pueden usarse en un fraude de intercambio de SIM contra usted. Y una vez que lograron descubrir la combinación de nombre de usuario y contraseña que usa para la banca en línea, ya sea porque se enamoró de un correo electrónico de suplantación de identidad y los entregó, o los obtuvo de un volcado de datos de la violación de seguridad de un sitio web donde lo usó. La misma combinación de nombre de usuario y contraseña: están a mitad de camino. Todo lo que necesitan hacer ahora es llamar a su operador de telefonía móvil..

Llaman y responden a un conjunto de preguntas de seguridad bastante fáciles, muchas de las cuales obtendrán a través de su investigación, y solicitan una nueva tarjeta SIM para reemplazar su tarjeta existente. Pueden usar casi cualquier motivo para el intercambio de SIM, como que perdió su teléfono, dañó su tarjeta SIM existente o se está actualizando a un dispositivo diferente. Ahora, supondría que todos los operadores de telefonía móvil lo harían un requisito previo para que cualquier SIM recién solicitada se envíe solo a la dirección del titular de la cuenta, pero durante la búsqueda de este artículo, encontré que algunos operadores enviarán la tarjeta SIM a cualquier dirección solicitada por la persona que llama. Sí, has leído bien. Cualquier dirección ...

Ni siquiera tienen que molestarse en llamar a un centro de llamadas en algunos casos. Solo pueden ingresar descaradamente a cualquier sucursal de High Street de su proveedor de servicios móviles, armados con toda la información que tienen sobre usted y simplemente solicitar un reemplazo de SIM en cualquier momento..

Impacto de las estafas de intercambio de SIM

Los delincuentes en todo el país han robado miles de libras de las cuentas bancarias de las personas que utilizan la estafa de intercambio de SIM, y el nivel de seguridad utilizado por los operadores móviles es preocupantemente bajo. Richard de Vere, de The AntiSocial Engineer, informó sobre una víctima que perdió £ 35,000 en un fraude de intercambio de SIM, cuando un ciberdelincuente transfirió el dinero de su cuenta a un banco en Eslovaquia. Se las arregló para obtener una transcripción de la conversación entre el criminal y el centro de llamadas de Vodafone y, sorprendentemente, el manejador de llamadas procedió con la solicitud a pesar de que la persona que llama no pudo dar ninguna de las contraseñas de la cuenta, palabras memorables, contactos en el teléfono, cómo gran parte del débito directo mensual era para la cuenta, o incluso la fecha de nacimiento de la víctima.

Le mencioné que estaba escribiendo este artículo a un amigo, e inmediatamente llamó a su operador de telefonía móvil para cambiar la única pregunta memorable que el operador usaba para permitir el acceso a su cuenta por teléfono, el apellido de soltera de su madre. Para un atacante, esto hubiera sido fácil de deducir dadas las extensas conversaciones de Facebook y Twitter que tiene con la familia. Sin embargo, cuando llamó, el agente ni siquiera entendió por qué tenía que cambiar su pregunta de seguridad en primer lugar. Esto realmente demuestra que algunos operadores de telefonía móvil no están educando al personal de su centro de llamadas sobre los riesgos de fraude para sus clientes..

Los bancos han invertido fuertemente en medidas de seguridad innovadoras para ayudar a asegurar la banca en línea. Después de todo, les interesa a ellos, ya que corren el riesgo de no solo pérdidas financieras, sino también de sanciones por parte de la Autoridad de Conducta Financiera si se determina que su seguridad es deficiente. Como parte de estos esfuerzos, muchos bancos han implementado con éxito procesos de autenticación de dos pasos con teléfonos móviles. Sin embargo, muy pocos bancos actualmente pueden detectar el fraude de intercambio de SIM a medida que ocurre.

Los bancos se defienden

La tecnología se está poniendo al día: First Direct, por ejemplo, ha respondido a la amenaza mediante la implementación de un programa de identificación por voz. Esto funciona al verificar la velocidad, la cadencia y la pronunciación de una voz y la compara con una muestra de voz conocida del cliente genuino. Incluso mide aspectos físicos como la forma de la laringe, el tracto vocal y el pasaje nasal para que coincida con la persona que llama con su cuenta. Desde su lanzamiento, First Direct ha estimado que el sistema ha evitado más de 1,600 intentos de fraude. Ha tenido tanto éxito que la tecnología ha sido adoptada por la empresa matriz HSBC, y Barclays también ha introducido un esquema similar..

Pero, ¿por qué toda la responsabilidad recae en los bancos? ¿Por qué es tan fácil para un estafador obtener una SIM intercambiada en primer lugar? ¿Por qué los operadores móviles no invierten en tecnología de reconocimiento de voz para evitar el fraude? ¿Es simplemente porque no enfrentan sanciones o sanciones económicas por fraude de intercambio de SIM, a diferencia de los bancos? Seguramente, Ofcom, junto con la Oficina del Comisionado de Información, debe insistir en controles de seguridad más estrictos dentro de estas compañías.

La falta de progreso dentro de estas empresas es asombrosa. Todos deberían estar ahora estrechando activamente los procesos y las directrices sobre cómo detectar actividades potencialmente fraudulentas. Deberían capacitar al centro de llamadas, al personal de la tienda en línea y en el sitio para reconocer mejor las señales de actividad potencialmente fraudulenta, como por ejemplo, cuando alguien podría hacerse pasar por un cliente. Solo deben enviar tarjetas SIM a la dirección del titular de la cuenta registrada. Deben invertir en una mejor tecnología de seguridad y dejar de confiar en preguntas de "seguridad" que pueden ser respondidas fácilmente por un estafador que escanea una página de Facebook. Deben estar haciendo un mejor uso de los datos en torno al tipo de dispositivo, la ubicación y el comportamiento del consumidor de los clientes para identificar proactivamente las posibles amenazas. ¿Por qué son aparentemente incapaces de lograr estas medidas??

Rol de los operadores móviles

En lugar de dejar que la industria bancaria haga todo el trabajo pesado en la guerra contra el crimen cibernético, los operadores móviles deben intensificar su juego y jugar su parte para combatir el crimen basado en teléfonos móviles. Deben trabajar en conjunto con los bancos, la Agencia Nacional de Delitos, el Centro Nacional de Seguridad Cibernética, Ofcom y el ICO para mitigar los riesgos. No deben temerle a GDPR y compartir los datos de manera adecuada. Después de todo, ¿no les conviene a sus clientes hacer todo lo posible para prevenir el fraude? Hacer que los datos históricos de los clientes estén disponibles para que las busquen las soluciones de prevención de fraude de un banco, por ejemplo, supondría una gran diferencia.

Si usted es víctima de un fraude de intercambio de SIM, no lo tome tirado. Ejerza sus derechos bajo GDPR para obtener datos de su operador de telefonía móvil enviándoles una Solicitud de acceso de sujeto para descubrir lo que saben sobre el incidente; a menudo tendrán más información de la que dejan ver. No acepte que su banco intente no reembolsarle, póngase en contacto con Citizen Advice y presente una queja ante la FCA si tiene que hacerlo..

Todos tenemos un papel que desempeñar en la lucha contra los delitos cibernéticos, y ninguna organización o industria debería tener permitido enterrar su cabeza en la arena y pretender que no tiene nada que ver con ellos. Hasta entonces, sugiero hablar con su operador de telefonía móvil y exigir que, como mínimo, cambien las preguntas de seguridad que le hacen a las que son más complicadas de obtener para un estafador, y exigen que cualquier nueva tarjeta SIM solo se envíe a su direccion de casa. Estas medidas no son perfectas, pero los operadores móviles deben hacer más para proteger a sus clientes contra el fraude.

Vince Warrington, fundador de Inteligencia protectora

  • También hemos destacado el mejor antivirus.