Nuevas estafas: SIM Swapping
El desarrollo tecnológico que se ha producido en las últimas décadas ha traído como consecuencia un aumento sustancial del uso de nuestros datos personales en Internet y de las finalidades a las que éstos se destinan, lo que constituye todo un atractivo para la ciberdelincuencia.
Si bien todo el mundo conoce la existencia de la ciberdelincuencia, resulta complejo reconocer a tiempo cuándo estamos siendo víctimas de ella. Por ello, desde Letslaw queremos proporcionarte cierta información relevante para que puedas detectar si estás siendo víctima de la novedosa forma de ciberdelincuencia conocida como “SIM Swapping”.
¿Qué es el SIM Swapping?
El SIM Swapping es el término coloquial por el que hace referencia al nuevo tipo de estafa consistente en que un tercero ajeno al titular de una tarjeta SIM o “ciberdelincuente”, solicita a la operadora móvil correspondiente un duplicado de ésta – con la consecuente anulación de la anterior tarjeta SIM – para así poder recibir en dicho duplicado los mensajes de texto que la entidad bancaría envía a sus clientes como medida de seguridad para confirmar determinadas operaciones bancarias.
Es importante poner de manifiesto que un duplicado de SIM no tiene más efectos que garantizar el acceso en exclusiva a la línea de teléfono, pero en ningún caso implica el acceso a contraseñas o datos bancarios. Por tanto, para que este tipo de estafa pueda consumarse es necesario que el ciberdelincuente responsable de la estafa previamente haya conseguido hacerse con las credenciales de la víctima para acceder y autenticarse en el servicio de banca electrónica.
La secretaria de Estado de Seguridad ha puesto de manifiesto que los ciberdelincuentes suelen deliberadamente realizar el duplicado de tarjeta en fechas y horas en las que a los usuarios de banca y telefonía les es más complicado contactar con los servicios de atención al cliente por no funcionar al 100%, como fines de semana, final de la tarde o noche, festivos y puentes; causando una dilación temporal antes de que la víctima sea consciente de la estafa y pueda inhabilitar o bloquear sus cuentas, lo que permite un mayor tiempo de actuación al ciberdelincuente.
Las políticas de procesos para duplicar la tarjeta SIM varían en función de la compañía telefónica. En todo caso, la AEPD ha establecido que éstas deben de actuar de forma diligente al realizar estas prácticas y, en todo caso cumplir con los principios de protección de datos recogidos en el artículo 5 del RGPD, llegando a imponer multas de hasta tres millones de euros a compañías telefónicas que no cumplen con los citados requisitos.
Prácticas de seguridad para prevenir el SIM Swapping
Conscientes de las importantes consecuencias que este tipo de estafa puede causar, desde Letslaw os proporcionamos con una lista de buenas prácticas de seguridad para disminuir las posibilidades de ser víctima de este tipo de estafa:
- Ante cualquier pérdida de cobertura del teléfono sin motivo lógico, contacte con su operadora de telefonía para notificarlo y comprobar la razón de la incidencia. Ante un caso de duplicado de tarjeta, cambie inmediatamente las credenciales de acceso a la banca digital y a otros servicios online utilizados con frecuencia. Asimismo, contacte con su entidad bancaria para notificar lo sucedido.
- No acceda a enlaces incluidos en mensajes de texto o correos electrónicos sospechosos ni comparta datos personales o información bancaria con el remitente. Es común que los ciberdelincuentes se hagan pasar por instituciones de buena reputación como su entidad bancaria, instituciones gubernamentales y entidades sanitarias con ánimo de ganar acceso a sus datos personales. Por ello, ante mensajes que no se correspondan con el estándar de formato y/o contenido habitual de su entidad de confianza o que sean remitidos desde direcciones de correo o números de contacto no oficiales, póngase en contacto con su entidad de confianza para confirmar si se trata de un intento de ciberataque.
- No introduzca información sensible como contraseñas o datos bancarios si el dispositivo está conectado a una red de wifi pública.
- Configure, cuando sea posible, métodos de autenticación biométricos como la huella dactilar o la identificación facial. Asimismo, recomendamos que los códigos de acceso o contraseñas tengan un nivel de complejidad elevado, evitando recurrir a cumpleaños, aniversarios o direcciones. Si estima necesario anotar las contraseñas para recordarlas, evite realizarlo en dispositivos que tengan acceso a internet.
Qué puedes hacer si eres víctima de una suplantación de la tarjeta SIM
Ante una estafa de este tipo se debe comunicar al banco lo sucedido, aportando la denuncia realizada ante la policía, para que éste proceda a devolverte los cargos realizados por cuenta del ciberdelincuente.
En este sentido, cabe indicar que la normativa vigente establece que las entidades bancarias deben devolver el dinero a las víctimas de este tipo de estafas salvo que pueda acreditarse que el cliente está actuando de forma fraudulenta o que éste ha incurrido en alguna negligencia. En todo caso, será la entidad bancaria quien deba acreditar la circunstancia alegada.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.