Noticias y curiosidades del mundo
A medida que el avance tecnológico genera mejoras en la comunicación de los dispositivos móviles, las ciberestafas logran adaptarse a nuevos entornos para atacar a una cantidad significativa de dispositivos a nivel mundial. El nuevo flagelo, denominado eSim swapping, permite que intrusos tomen fácilmente el control de múltiples cuentas del celular o la tablet.
A diferencia de las tarjetas SIM físicas convencionales, la eSIM es un chip integrado en el dispositivo que permite al usuario activar el servicio digitalmente iniciando sesión en una aplicación o escaneando un código QR.
En la lista aparecen muchos modelos populares de los principales fabricantes de Apple desde iPhone XR hasta los flamantes iPhone 15, los tanques de Samsung Galaxy S20 al S24, los plegables Fold y Flip, A35, A55 y A54 en la gama media. También están los Xiaomi 13, 13 Lite, 13 Pro, Xiaomi 12T Pro; Motorola Razr 2019 y 5G, Motorola Edge 40 y 40 Pro.
Una vez que los atacantes logran el robo de la línea digital, les resulta más fácil obtener códigos de acceso y autenticación de dos factores para distintos servicios, incluidos los bancarios y la mensajería privada (WhatsApp, Telegram o Signal) lo que abre muchas oportunidades para las ciberestafas, según advierten especialistas en ciberseguridad de ESET.
eSim swapping: cómo atacan los ciberdelincuentes
Esta nueva forma de fraude, que califica como ciberataque, implica el cambio ilegal de la identidad de un dispositivo móvil virtualmente utilizando la tecnología eSIM.
El ataque inicial comienza mediante ingeniería social, phishing, y otros métodos de engaño, que irrumpen la cuenta del usuario y obtienen el código QR que les permite activar la eSIM en su propio dispositivo, secuestrando efectivamente el número de la víctima.
La eSIM (embedded SIM) es una tarjeta SIM virtual incrustada en el dispositivo móvil, en lugar de ser una tarjeta física que se inserta y se puede quitar (que actualmente es quizás la más conocida en tanto se utiliza desde hace más de quince años y que habitualmente adquirimos mediante empresas de telefonía).
El uso de la eSIM permite a los usuarios cambiar de operador de red sin necesidad de cambiar físicamente la tarjeta SIM, lo que aún es un hábito entre los usuarios de telefonía móvil y para muchos la única manera conocida.
“El proceso de eSIM swapping ocurre cuando un cibercriminal logra engañar al proveedor de servicios de telefonía móvil para que transfiera la suscripción de eSIM de un usuario legítimo a un dispositivo controlado por el atacante. Esto puede hacerse mediante ingeniería social, suplantación de identidad o explotando fallas en los procesos de verificación de identidad de los proveedores”, explica Fabiana Ramirez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Y agrega: “Una vez que el atacante tiene el control de la eSIM del usuario, puede recibir llamadas, mensajes y datos destinados originalmente al usuario legítimo. Esto puede dar lugar a la interceptación de comunicaciones sensibles, robo de identidad, acceso a cuentas en línea y otros tipos de fraudes”.
Una vez consumado el ciberdelito, el intruso logra acceder a las cuentas móviles de los usuarios usando credenciales robadas, forzadas o filtradas. Incluidos los correos electrónicos, las redes sociales y la banca, comprometiendo su identidad digital y exponiendo información personal y financiera.
eSIM swapping: qué consecuencias tiene para la seguridad y privacidad
La eSIM se vincula al teléfono a través de un código QR. Foto: SAID KHATIB / AFP.Según alerta un informe de la empresa rusa de ciberseguridad F.A.C.C.T., el SIM swapping fue en aumento durante 2023, aprovechando la transición a tecnología eSIM que está presente en dispositivos móviles.
Ese año se registraron más de un centenar de intentos de acceder a las cuentas personales de los clientes en servicios en línea en una sola institución financiera, este tipo de instituciones son las apuntadas principalmente luego del clonado de eSIM.
Con acceso al Home Banking en línea de la víctima, los delincuentes pueden realizar transacciones, transfiriendo fondos ilegalmente y comprometiendo su estabilidad financiera.
También pueden utilizar el acceso a los mensajes y contactos de la víctima para llevar a cabo extorsión o chantaje, amenazando con revelar información confidencial o comprometedora.
Incluso los ciberdelincuentes utilizan el acceso a la cuenta de la víctima para difundir información falsa o malintencionada, puede resultar en daños a la reputación personal y profesional.
eSIM swapping: consejos para proteger tu celular
Galaxy Z Flip 4, uno de los celulares plegables con eSIM.Aunque no lo parezca, la verificación en dos pasos por SMS no está aconsejada para protegerse y evitar que un intruso acceda al teléfono. Al tener en su poder el número, el ciberdelincuente podrá piratear sus otras cuentas con facilidad al recibir el código de seguridad por mensaje de texto. Se recomienda utilizar siempre aplicaciones de token de acceso para proteger las cuentas.
Habilitar la verificación en dos pasos en WhatsApp. Desde la popular aplicación de mensajería habrá que seleccionar «Menú» (los tres puntos) y luego en «Configuración»; Tocar «Cuenta», «Verificación en dos pasos»; Establecer un código PIN de seis dígitos, que se pedirá cuando se inicie sesión en WhatsApp.
El servicio de mensajería, por su parte, solicitará al usuario el código de vez en cuando, para asegurarse de que alguien más no lo esté usando; También se puede configurar una dirección de correo electrónico para recuperar el PIN en caso olvidarlo.
En algunos casos, WhatsApp puede pedir agregar un correo electrónico de recuperación si se olvida el código. Es extremadamente importante que este correo electrónico también esté protegido por la verificación en dos pasos que no sea a través de SMS.
Por otro lado, el intercambio de SIM, como reconocen los especialistas, está basado especialmente en estafas de suplantación de identidad o phishing, que aparece en forma de correos electrónicos y mensajes sospechosos. Dado que se trata de una estafa vinculada a la ingeniería social, es importante tener cuidado con recibir contenidos de contactos extraños.