El intercambio de SIM o SIM swapping, es un tipo de ataque que se ha incrementado en los últimos años, La forma en que opera este fraude es mediante ingeniería social, engañando a la víctima para secuestrar su número teléfono en una nueva SIM y hacerse pasar por la víctima de la siguiente forma: El delincuente marca al proveedor de telefonía móvil para pedir la cancelación y reposición del SIM. Posteriormente le llega un mensaje a la víctima con el número de confirmación para realizar el cambio de su línea telefónica a un nuevo SIM. Aquí es cuando el delincuente contacta a la víctima para que le proporcione el código mediante técnicas de ingeniería social. Hay casos donde este mensaje proviene de algún conocido que ha sido víctima de este fraude recientemente.

El objetivo de esta técnica va desde pedir rescate por recuperar la línea telefónica, validar
aplicaciones para obtener claves y así ingresar a los servicios que están ligados el número telefónico, suplantar la identidad de otra persona para robar más líneas telefónicas, hasta acceder a las cuentas bancarias ligadas al teléfono.

Cabe mencionar que el número telefónico no basta para tomar posesión de la banca electrónica. Por ello, los ciberdelincuentes obtienen más datos mediante ingeniería social, internet y redes sociales, con lo que complementan la información de autenticidad.

Esto no es algo nuevo. En 2019, el CEO de Twitter fue víctima de este ataque, y derivado de esto el atacante pudo acceder a su cuenta y publicar mensajes ofensivos y de odio. En México no hay una estadística de los casos de intercambio de SIM. La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) registró cifras de reclamos por robo de identidad cibernética, los cuales aumentaron 110% en un solo año, pues en 2018 fueron 3,105 y para 2019 se dispararon a 6,532. En 2020, estas cifras se incrementaron aún más con la pandemia y con filtraciones de datos de Facebook, que dejaron pública información como números celulares y nombres personales, y al alcance de los delincuentes.

¿Como protegerse de estos ataques?
Dado que el problema tiene varias caras, se tienen que abordar todos los escenarios. Los que operan la información deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Con las nuevas leyes para proporcionar los datos biométricos al contratar una nueva línea telefónica, puede ser que los casos disminuyan. También está el caso de las aplicaciones que siguen usando los SMS como sistema de autenticación en dos pasos. Deberían cambiar estos mecanismos por uno más seguro como Microsoft Authenticator, Google Authenticator o Authy. Por último, también está el factor humano: no se debe proporcionar un código de seguridad a un extraño, aun en el caso de que te lo pida algún conocido.

Referencias:
https://www.infobae.com/america/mexico/2020/12/24/que-es-y-como-evitar-el-sim-swapping-el-nuevo-modo-de-fraude-bancario/#:~:text=El%20SIM%20swapping%20o%20intercambio,es%20de%20otro%20banco%20y
https://www.eleconomista.com.mx/finanzaspersonales/Conozca-y-protejase-del-SIM-Swapping-un-fraude-que-esta-latente-20201123-0136.html
https://www.m-x.com.mx/al-dia/hierve-el-sim-swapping-se-apoderaron-de-mi-chip-y-me-robaron-dinero-del-banco
https://www.nytimes.com/2019/09/05/technology/sim-swap-jack-dorsey-hack.html