Estafas de duplicado de tarjeta SIM y la biometría del comportamiento


El duplicado de la tarjeta SIM (conocido como "SIM swapping") es un fraude de robo de cuenta que cada vez resulta más popular y que el año pasado ya se cobró víctimas de alto perfil, como el mismísimo CEO de Twitter Jack Dorsey, e incluso podría ser el culpable de las estafas relacionadas con Bitcoin a través de las cuentas de Twitter de Barack Obama y Elon Musk a mediados del pasado julio. Pero, para las víctimas de este tipo de fraude, hay algo más en juego que la imagen pública y la reputación.

En enero de 2020, una red de hackers española robó más de 3 millones de euros en una serie de ataques de duplicado de SIM de usuarios de tarjetas desprevenidos. Llegaron a atacar más de 100 veces y a robar hasta 137.000 euros de una sola vez en cuentas bancarias independientes.

En Grecia, los "simjackers" (o hackers de SIM) han robado hasta 700.000 euros de clientes de bancos griegos solo en este año, y la historia se repite en distintos países.

En este blog, aprenderás qué es el duplicado de SIM, cómo funciona y qué significa para el sector financiero esta táctica para estafar que está tan de moda.

sim-swapping-behavior-biometric-01

¿Cómo funciona el duplicado de SIM?

El duplicado de SIM ("SIM swapping") o hackeo de SIM ("simjacking") se centra en una debilidad que se encuentra en la autenticación de dos factores, en la cual el segundo factor es un mensaje de texto (SMS) o una llamada realizada a un teléfono móvil.

Los ciberdelincuentes aprovechan el hecho de que los proveedores de servicios móviles pueden transferir los números de teléfono –que son necesarios para el segundo paso de la autenticación de dos factores– a teléfonos propiedad de los "fraudsters".


Cuando se pierde o se roba un teléfono móvil o cuando los usuarios cambian los servicios a un móvil nuevo, el proveedor de servicios móviles puede transferir sin problema el número del usuario a un dispositivo distinto.



Para convertir esta simple acción en una estafa, todo lo que tiene que hacer el "fraudster" es llamar al proveedor de servicios móviles de un usuario legítimo, hacerse pasar por él –mediante los datos que haya conseguido a través de malware, phishing o el crimen organizado– y convencer al proveedor para que cambie el número de teléfono a la SIM del "fraudster".

Esto le permite interceptar cualquier contraseña de un solo uso que se envíe a la víctima mediante SMS y burlar así las funciones de seguridad de las cuentas que se basen en mensajes de texto o llamadas telefónicas.

Es más, el duplicado de una SIM es bastante más rápido que otras tácticas fraudulentas tradicionales.

sim-swapping-behavior-biometric-02

Lo único que tienen que hacer los "fraudsters" es enviar un mensaje de texto a un operador para obtener el código de autorización de portabilidad (Porting Authorization Code), por lo que, solo con que tengan acceso a un dispositivo durante unos segundos, les resulta significativamente más rápido aprovechar esa debilidad de la autenticación de dos factores que infectarlo con malware o pasar por una campaña de "phishing".

Y es incluso más fácil conseguirlo en aquellos países que no poseen una legislación tan estricta como la ley de autenticación reforzada de clientes de la Unión Europea, o bien tienen un menor conocimiento del fraude en la banca, ya que es más fácil cometer este fraude sin tener que pasar por ningún proceso de identificación.

Señales de que se está siendo víctima de un duplicado de SIM:

  • Se te notifica que tu tarjeta SIM ha sido activada en otro dispositivo.
  • No puedes enviar mensajes de texto ni realizar llamadas de teléfono.
  • No funcionan tus credenciales de inicio de sesión en tu banco.

En una hora o dos, la mayoría de víctimas se da cuenta de una de estas señales, por lo que los "fraudsters" tienen que darse prisa para transferir el dinero a cuentas mula y eliminar su rastro.

Los duplicadores de SIM atacan: ¿qué hacer?

Cuando este mismo año los hackers de SIM decidieron atacar a los clientes de la banca griega, una de las víctimas atrapadas en ese ataque recordó lo fácil que había sido: durante un minuto su teléfono perdió la señal y lo siguiente fue que se habían transferido 10.150 euros de su cuenta bancaria.

El banco es la primera escala de la víctima que visitan los "fraudsters" y también es el primero al que culpan.


“Estoy enfadado con el banco. Les he contratado un préstamo y siempre he cumplido con mis obligaciones”, explicaba un cliente estafado al periódico National Herald. Y no es el único que pretende que el banco le dé una solución.



En julio de 2020, el Tribunal de Apelaciones de Dubái consideró responsable a un banco local por el fraude de duplicado de SIM por el que se robaron 4,7 millones de dírhams (más de 1 millón de euros) de las cuentas de un banco de Oriente Próximo en 2017, y ordenó al banco reembolsar a las víctimas.

Con el uso de los teléfonos inteligentes en su momento de mayor expansión y cada vez más personas accediendo al ecosistema bancario –la COVID-19 está acelerando el cambio a los pagos digitales en todo el mundo–, recae en los bancos la responsabilidad de garantizar que los "fraudsters" más avanzados no se sitúen a tan solo un mensaje de texto de los ahorros de sus clientes.

sim-swapping-behavior-biometric-03

El papel del banco a la hora de detener el fraude del duplicado de SIM

A primera vista, los bancos son tan víctimas de las estafas de duplicado de SIM como sus clientes. La transferencia de los números de teléfono de los titulares de tarjetas a nuevos dispositivos es, en última instancia, decisión del proveedor de servicios móviles que –al recibir unos datos robados, pero correctos— no tiene motivo alguno para sospechar que detrás de la jugada hay unos ciberdelincuentes.

Pero, tal como demuestra la sentencia del tribunal de Dubái, la responsabilidad de reembolsar a las víctimas recae en el banco.

¿Significa eso que los bancos tendrán siempre las de perder en lo que respecta al hackeo de tarjetas SIM? En absoluto. Las instituciones financieras no pueden permitirse adoptar una postura reactiva: no solo les resultará caro, sino que perjudicará su relación con el cliente.

Con la solución de detección del fraude online bugFraud de buguroo, los bancos pueden situarse un paso por delante de cualquier tipo de ciberdelincuencia, incluido el duplicado de SIM.

El análisis de la biometría del comportamiento es capaz de contrarrestar los defectos de la autenticación de dos factores

La mayoría de bancos verifican la identidad del usuario en el momento de iniciar la sesión y en el de realizar una transacción (autenticación de dos factores), con lo que dejan un vacío en el proceso que permite que se produzcan robos de cuenta en mitad de la sesión.

En cambio, bugFraud ofrece una autenticación continua para supervisar y verificar la identidad de los clientes del banco en tiempo real y a lo largo de toda la sesión online. Su capacidad de análisis de la biometría del comportamiento impulsada por el "deep learning" puede crear un ciber-ADN de cada usuario basándose en unos patrones de comportamiento únicos y fragmentados para determinar cuál es el “comportamiento típico” de un usuario concreto.

Posteriormente, mediante la supervisión continua de su actividad durante toda la sesión online, bugFraud alerta de cualquier actividad sospechosa en tiempo real e induce al banco a tomar medidas.

En el caso del duplicado de SIM, si bien una tarjeta SIM puede verificarse como perteneciente a un usuario autorizado, bugFraud es capaz de detectar un cambio en los patrones de uso del usuario e indicar una actividad fraudulenta.

También es capaz de establecer una correlación entre un dispositivo y la Identidad Internacional del Abonado Móvil (IMSI) real del usuario, con lo que permite que los bancos descubran anomalías como un identificador de dispositivo vinculado a dos o más tarjetas SIM, o bien una SIM compartida entre dos o más identificadores de dispositivo.

En ambos casos, bugFraud ayuda al banco a detener a los "fraudsters" antes de que el dinero salga de la cuenta del usuario legítimo.

fruadster-hunter_600

Perfiles de ciberdelincuentes: cómo atrapar a hackers de SIM concretos

bugFraud no solo protege a los clientes de la banca de las estafas de duplicado de SIM, sino que también favorece que el banco frustre e impida futuros intentos por parte de los mismos ciberdelincuentes.

Cada vez que se realiza un intento de duplicado de SIM, la funcionalidad Fraudster Hunter de bugFraud recopila el ADN único de la biometría del comportamiento de esos ciberdelincuentes y permite que las instituciones financieras identifiquen inmediatamente cualquier entidad maliciosa que se haya introducido en su sistema y eviten el robo de cuentas.

Cuantas más veces ataquen los ciberdelincuentes, más rápido podrá identificarlos el banco, con lo que terminarán disuadiéndolos por completo, y todo ello mientras sus usuarios legítimos disfrutan de una experiencia de usuario final segura y sin fricciones.

 

 

Publicado por Jose Carlos Corrales

José has a track record of more than 10 years in the different areas of cybersecurity, boasting experience in managed security services, anti-fraud services, reverse engineering, malware analysis and many others, working as a middle manager, a project manager and a presales engineer in companies such as Telefónica and Deloitte, mainly in banking customers. He currently analyses the market to detect new functionalities that ensure our solution stays on the cutting-edge of anti-fraud and serves to solve our customers’ present problems.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo