Español Português Español Español Español Español Español Español Español Español
Ayuda
Mi cuenta
Mi carrito 0

Suarez, sim swapping


Por Leandro Suarez*


<<SIM SWAPPING>>
¡EL CHIP YA NO ES IMPORTANTE, MAMUCHA!

Una de las publicidades más recordadas en los últimos 15 años en la República Argentina es la que realizó la compañía CTI Móvil, donde un niño explicaba cómo era posible transferir una línea telefónica de manera inmediata a otro equipo a través de la utilización de una tarjeta SIM.
“Es el chip, mamucha”, decía el pequeño en la publicidad, mientras ocultaba un teléfono Nokia 1100 sumergido en una pecera [1]
Esta situación ya no tiene la misma vigencia, debido a que las compañías telefónicas no pueden brindar los mecanismos de seguridad adecuados para proteger a los usuarios de los cambios de SIM solicitados por una simple llamada telefónica que puede realizar cualquier persona con tan solo algunos datos personales.
El usuario puede tener una SIM pero cualquiera la puede “clonar” y obtener así información relacionada a esa tarjeta. Podemos decir entonces que a esta campaña de publicidad le faltaría, en la actualidad, un elemento adicional de seguridad que deberían brindar todas las compañías telefónicas y que hoy claramente no se cumple.

APROXIMACIÓN A UNA DEFINICIÓN DE SIM SWAPPING

El SIM Swapping o intercambio de SIM, es la capacidad de transferir un número de teléfono a una nueva tarjeta SIM, utilizando para ello técnicas de ingeniería social. Esta situación genera graves inconvenientes en el usuario de la compañía que se ve privado de utilizar su línea telefónica, lo que conlleva la pérdida de control de todas las cuentas asociadas a dicho número (correo electrónico, home banking, redes sociales, aplicaciones de citas, billeteras virtuales, entre otros).

SIM = Módulo de Identificación de Abonado (Subscriber Identity Module, en inglés).
SWAP = intercambio, intercambiar.

Fuente: Infobae [2]

 

Debemos entender que el conjunto de técnicas de ingeniería social que emplea el atacante (también es posible que sean varios) no se produce a raíz de una falla de seguridad de los dispositivos de telefonía celular, sino en la ausencia de una política de seguridad adecuada en relación a todos aquellos protocolos de verificación por parte de las compañías prestatarias del servicio de telefonía a la hora solicitar una copia de la tarjeta SIM.

FASES DEL SIM SWAPPING

No existe aquí la utilización de una acción aislada. Para obtener resultados positivos se emplean de manera conjunta diversas técnicas de ingeniería social, ya que el objetivo de los delincuentes es acceder a los códigos de verificación que empresas y entidades bancarias suelen enviar a cada uno de los dispositivos móviles[3] cuando son requeridos por los usuarios en relación a una situación en particular (mensajes para vincular cuentas, transacciones, cambios de correo electrónico, confirmar cambios sobre datos personales, entre otros).

Primera fase

La actividad principal está centrada en la búsqueda de información personal del usuario que ha sido designado como objetivo del ataque: redes sociales, sitios web gubernamentales, de servicios, comentarios realizados en portales de noticias, sorteos, sitios phishing, serán algunos de los lugares donde podrían obtener todos aquellos datos que les permitan realizar las maniobras delictivas.

Segunda fase

Una vez que cuentan con la información necesaria (han logrado determinar el perfil de la persona, cuáles son los inconvenientes que tiene, entidad bancaria en la que se encuentra registrado, edad, lugar de residencia, etcétera) buscarán obtener las credenciales de acceso.
Si bien en la mayoría de los casos los principales ataques se realizan a cuentas bancarias y billeteras virtuales, no es el único objetivo perseguido. Las credenciales de acceso pueden obtenerse a través de la creación de sitios web fraudulentos (phishing [4]) a los que se redirige al usuario desde un enlace enviado a través de un correo electrónico, mensaje de texto [5] (SMS), aplicaciones de mensajería como WhatsApp y mensajes directos en redes sociales.
Es posible que también, ante la falta de control de las entidades bancarias de sus propios perfiles en redes sociales (Instagram, Facebook, sitios web oficiales) se hagan pasar como “representantes” oficiales y comiencen a engañar a los usuarios. Esta situación ocurre con frecuencia y puede visualizarse no solo en relación a entidades bancarias, sino también en aquellas empresas que ofrecen productos [6] y servicios de manera online, donde al existir miles de comentarios por parte de los usuarios afectados, los delincuentes aprovecharán esa situación de vulnerabilidad para conseguir información.

La imagen que incorporamos a este artículo pertenece a la Fan Page oficial de la compañía MUSIMUNDO, donde se puede observar cómo los clientes de diversas localidades del país realizan preguntas, reclamos por compras, devoluciones, envíos, entre otros. Esta situación es aprovechada para generar confusión (en este caso escriben un comentario con un número de teléfono que pertenecería a la sección “atención al cliente” [7]) logrando que se comuniquen con ellos y obtener así la información necesaria.

Tercera fase

Las deficientes medidas de seguridad que tienen las compañías telefónicas, en relación a la verificación de identidad de todos sus clientes, facilita aún más el trabajo de los delincuentes, quienes solo deben llamar a la compañía telefónica y pedir el cambio de SIM.
Puede parecer ilógico pero algunos logran inclusive falsificar la identidad [8] de los usuarios y se presentan en forma personal en establecimientos [9] destinados a la atención al público, pidiendo el cambio de SIM.
El usuario titular de la línea telefónica solo puede tomar conocimiento de esta situación cuando se queda sin cobertura, es decir, sin señal de su compañía telefónica.
Con las credenciales [10] en su poder, buscaran obtener una copia (clonada) de la SIM de la propia víctima para comenzar a recibir los códigos de verificación por mensaje de texto (SMS [11]). Pueden existir dos situaciones:

  1. Cuando todas las aplicaciones se hayan configurado con el sistema (SMS), el atacante tendrá acceso a todas ellas
  2. Si se configura de manera correcta el doble factor de autenticación (2FA [12]), limitará el accionar y deberán seguir intentando con otras aplicaciones o sitios web que se encuentren a su alcance.

Una vez conseguido el duplicado de la SIM, comenzaran a intentar acceder a todas aquellas cuentas de la persona afectada, principalmente bancarias y billeteras electrónicas. Por lo general, las actividades que realizan son las siguientes:

  • Transferencias [13]
  • Prestamos [14]
  • Conversión de divisas
  • Compras [15]
  • Pago de servicios [16]

Para confirmar cada una de las transacciones llevadas a cabo, solo van a necesitar el código que se encuentra en el mensaje de texto (SMS) que reciban en la SIM (clonada).

Cuarta fase

Luego de haber agotado los recursos de las cuentas bancarias y billeteras virtuales, comenzarán a utilizar tanto las redes sociales como las aplicaciones de mensajería instantánea para seguir obteniendo beneficios de tipo económico, siendo WhatsApp la aplicación más utilizada en la actualidad [17].
Ofrecen a los contactos agendados [18] una supuesta “venta de dólares”, como así también el pedido de un pequeño “préstamo” de dinero que será devuelto horas más tarde. Debemos aclarar que esta actividad se puede realizar sin tener acceso a la tarjeta SIM (por ejemplo, cuando el usuario comparte el código de verificación de WhatsApp [19]).
Con respecto a las redes sociales [20], puede existir la posibilidad que el “usuario” titular de la cuenta realice una supuesta venta de productos [21] con precios realmente accesibles y que luego no llegue a destino. Si bien es cierto que esta modalidad requiere un tiempo determinado, hay probabilidades de encontrar algún interesado y que luego se transforme en un perjudicado.

NO OLVIDES CHEQUEAR LA INFORMACIÓN

En este punto es importante estar atentos al pedido u ofrecimiento y sobre todo a la cuenta donde será depositado el dinero. Antes de realizar una transacción debemos corroborar:

  • Nombre y apellido
  • CUIT
  • DNI
  • Dirección de correo electrónico
  • Tipo de cuenta

Con toda esta información, es posible conocer quién es la persona [22] que está realizando la supuesta venta o pedido de dinero y evitar así un grave perjuicio.

CVU vs. CBU

Existe una diferencia entre estos dos términos muy utilizados en la actualidad: por un lado encontramos al CBU y por el otro, al CVU.
El CBU (Clave Bancaria Uniforme) es el código que identifica a cada cuenta bancaria como única y está compuesta por 22 dígitos. Cada dígito brinda información de la cuenta, su tipo y número, el banco al que pertenece y la sucursal [23].
Mientras que el CVU es un “código de 22 dígitos que facilita la interoperabilidad entre personas usuarias de los Proveedores de Servicios de Pagos (PSP) y del sistema financiero” [24].

TARJETA SIM

La tarjeta SIM (Módulo de Identificación de Abonado, Subscriber Identity Module en inglés) es un “chip integrado en una tarjeta de plástico que almacena la clave de servicio del usuario que le permite identificarse ante la red móvil de un determinado operador de telefonía [25]”.

Cómo funcionan las tarjetas SIM

Todas las tarjetas SIM almacenan en su memoria interna el denominado IMSI [26] (Identidad Internacional del Suscriptor Móvil, International Mobile Subscriber Identify en inglés).
Se trata de un código utilizado por los operadores de telefonía para mantener la conexión en los móviles de cada abonado y la red [27]. Cuando un teléfono móvil u otro dispositivo que utiliza una SIM se enciende, envía el IMSI a la red solicitando acceso y autenticación.
A partir de ese momento, el operador buscará:

  1. Información del IMSI en su base de datos.
  2. La clave de autenticación (Ki [28]) asociada al mismo.

Una vez que se comprueba esta información, el operador genera un número (de carácter aleatorio) que firma con la clave de autenticación de la SIM y lo envía de nuevo a la SIM.

A este código utilizado para dicha acción se lo conoce con el nombre de SRES_1 (Signed Response 1 o Respuesta Firmada 1). Una vez en la SIM, la tarjeta firma el mismo número aleatorio con su Ki, generando así el SRES_2 que es devuelto al operador.
En caso que el SRES_1 generado por el operador y el SRES_2 generado por la SIM coincidan, la red genera la autenticación de la tarjeta y concede acceso para que pueda operar bajo el número de teléfono asociado a dicha tarjeta, permitiendo además el acceso a todos los servicios que fueron contratados en su momento por el usuario.

Estructura de la tarjeta SIM

 

En la imagen se pueden visualizar claramente 6 secciones de la tarjeta SIM. También existen otras con 8 secciones, pero en este artículo solo vamos a desarrollar la estructura física de las primeras:

  1. VCC (alimentación del chip): es la parte que proporciona energía a esa porción de la tarjeta SIM.
  2. RESET: es la sección utilizada para reiniciar la señal y las comunicaciones de la tarjeta SIM.
  3. Clock (reloj): provee a la tarjeta SIM la señal horaria para su procesador, que es obtenida desde el teléfono móvil.
  4. GND/Ground (tierra): es la referencia de voltaje más común. Normalmente es denominada tierra (ground en inglés), como el punto bajo de voltaje. La tarjeta SIM es una pequeña parte electrónica con un circuito integrado y también es un punto de referencia común, por lo que lleva esa denominación. GND completa el circuito para el funcionamiento correcto de la tarjeta SIM.
  5. VPP (habilitación de memoria EEPROM): esta sección es utilizada para cargar un voltaje adicional si es requerido, para escribir, borrar la información de la memoria SIM, pero ahora no es de mucha ayuda ya que este procedimiento es realizado por la sección VCC.
  6. Input/Output (punto de acceso al chip entrada/salida): usado para leer y escribir información en la tarjeta SIM desde los teléfonos móviles. Es una sección de comunicación semidúplex que funciona como trasferencia de información a esa porción de la tarjeta.

Con el avance de la tecnología y las nuevas investigaciones, el tamaño de la tarjeta SIM comienza a reducirse, pero a la vez aumenta su capacidad y rendimiento [29].

 

Tipos de SIM

Fuente: qore.com [30]

 

Existen diferentes tipos de tarjetas SIM, en función de su tamaño y formato [31]:

  • Tarjeta SIM: es la tarjeta SIM clásica y de mayor tamaño. En la actualidad pueden reducirse para ser convertidas en MicroSIM o NanoSIM, dependiendo del dispositivo de telefonía celular que sea utilizado.
  • Tarjeta MiniSIM: cuenta con un tamaño más reducido (25 x 15 milímetros) en relación al SIM clásico, permitiendo que los dispositivos de telefonía celular puedan ser actualizados.
  • Tarjeta MicroSIM: hoy en día es el que más se utiliza. El tamaño que presenta le permite al dispositivo tener una mejor disposición del espacio interno y aumentar además su capacidad de almacenamiento (desde 32 kB hasta 128 kB). La mejora incorporada por los avances tecnológicos genera que cuente con un mayor nivel de seguridad y la posibilidad de agregar más números de contacto en la agenda.
  • Tarjeta NanoSIM: es la tarjeta SIM más pequeña que existe en la actualidad (12,3 x 8,8 milímetros), convirtiéndose además en la tarjeta SIM con mayor capacidad de almacenamiento (128 kB).
  • Tarjeta eSim: también conocida como SIM virtual, es la evolución de las tarjetas SIM que hemos conocido hasta el día de hoy. Se compone de una parte hardware que viene soldada de fábrica en el dispositivo y una parte software que se descarga y contiene las credenciales para conectarse a la red de un operador en particular [32].

 

CLASE

LARGO

ANCHO

ESPESOR

CAPACIDAD

AÑO DE LANZAMIENTO

SIM

85.6

53.98

0.76

128 kB

1991

MiniSIM

25.00

15.00

0.76

32 kB

1996

MicroSIM

15.00

12.00

0.76

32 kB – 128 kB

2003

NanoSIM

12.30

8.80

0.67

128 kB

2012

eSIM

6.00

5.00

<1.0

512 kB

2016
 

 

CÓDIGO ICCID DE LA TARJETA SIM

El código ICC (Identificador Internacional de la Tarjeta de Circuitos, International Circuit Card ID en inglés) es el número de serie o identificador único que aparece en la tarjeta SIM que nos entregan cuando adquirimos un nuevo número de teléfono.
El código ICCID [33] está compuesto por 19 dígitos e identifica cada tarjeta SIM a nivel internacional [34]:

  

 

Como situación excepcional, pueden darse dos casos:

  • Una tarjeta SIM con 13 números, donde es necesario añadir delante la combinación 893456 para tener el código ICCID completo.
  • Una tarjeta SIM con 17 números, donde es necesario añadir delante el número 89 para tener el código ICCID completarlo.

¿Cuándo es necesario el ICCID?

Es necesario tener en cuenta que esta información se requiriere para las siguientes operaciones:

  • Portabilidad del número de línea móvil a otro operador.
  • Duplicado de tarjeta SIM.
  • Bloquear la tarjeta SIM.

 

¿QUÉ OCURRE EN UNA ESTAFA?

En la mayoría de las estafas los dispositivos de telefonía celular utilizados para realizar las maniobras delictivas no corresponden a los titulares de la línea. Esto significa que es posible realizar una pericia informática y demostrar con precisión que la víctima no ha realizado la transacción o transacciones que figuran en las entidades bancarias como así también en las organizaciones que prestan el servicio de las billeteras virtuales.
Por este motivo las compañías telefónicas deberían brindar información para determinar qué dispositivo se utilizó al momento de llevar adelante la acción que se cuestiona. Al vincular un dispositivo de telefonía celular con una SIM, puede existir la posibilidad de obtener información de esa actividad.

¿CÓMO PREVENIR DUPLICADOS DE LA TARJETA SIM?

A modo de conclusión, para evitar ser víctimas de SIM SWAPPING, es importante tener en cuenta algunos puntos que hemos mencionado en el artículo:

  • Ninguna entidad bancaria solicita por medio de llamadas telefónicas, mensajes de texto o mensajes de WhatsApp datos personales. Si recibimos algún mensaje de este tipo, es necesario comunicarse directamente con la entidad correspondiente, a través de sus medios de contacto oficiales (teléfono o correos electrónicos).
  • En el caso de perder por completo señal en el dispositivo, contactarse con el prestador del servicio de telefonía celular.
  • Realizar la denuncia policial brindando todos los datos necesarios para dejar asentado el hecho, indicando fecha y hora de lo sucedido.
  • Evitar la autenticación a través de SMS. Existen opciones con mayor nivel de seguridad, como autenticadores independientes (Authy [35], Google Authenticator [36]).
  • Controlar los movimientos bancarios semanalmente. Si encontramos cualquier actividad sospechosa dentro de la cuenta, es necesario realizar el desconocimiento de la misma tanto por teléfono como de manera presencial en la entidad bancaria [37].
  • Evitar la utilización de números fáciles de recordar como PIN o código de verificación.
  • Analizar la información que se descarta. Todos los resúmenes, recibos y comprobantes en papel deben ser destruidos por completo antes de ser arrojados a la basura.
  • No guardar notas con las contraseñas de bancos, de billeteras virtuales o de redes sociales en los correos electrónicos.



Notas

 

[1] https://www.lanacion.com.ar/tecnologia/aniversario-la-historia-de-la-sim-el-chip-para-celulares-que-cumple-30-anos-nid18112021/ (último acceso: 12 de mayo de 2022).
[2] https://www.infobae.com/america/tecno/2022/02/20/como-prevenir-el-sim-swapping-la-estafa-que-clona-chips-y-obtiene-acceso-a-cuentas-bancarias/ (último acceso: 13 de mayo de 2022).
[3] https://www.welivesecurity.com/la-es/2020/03/30/que-es-sim-swapping-como-funciona/ (último acceso: 10 de mayo de 2022).
[4] https://www.instagram.com/p/CdgHIqjOCDD/ (último acceso: 13 de mayo de 2022).
[5] Pueden emplear las técnicas conocidas como Smishing: es una forma de phishing en la que se utilizan teléfonos móviles como la plataforma de ataque. El delincuente realiza el ataque con un intento de obtener información personal, incluidos los números de la tarjeta de crédito o de la seguridad social. Fuente: https://www.trendmicro.com/es_es/what-is/phishing/smishing.html (ultimo acceso: 24 de mayo de 2022).
[6] https://www.facebook.com/musimundo/ (último acceso: 12 de mayo de 2022).
[7] En el sitio oficial de la compañía Musimundo, el teléfono que se encuentra en la imagen no figura como numero de atención al cliente. Es posible consultar en https://migestion.emusimundo.com/#/
[8] https://elderecho.com/multa-por-facilitar-duplicados-de-tarjeta-sim-a-personas-no-titulares-de-las-lineas#.YozjQH6qbEE.twitter (ultimo acceso: 24 de mayo de 2022).
[9] https://www.infobae.com/sociedad/2018/10/31/le-robaron-la-identidad-con-un-dni-trucho-y-le-generaron-una-deuda-millonaria/ (último acceso: 12 de mayo de 2022).
[10] Información confidencial.  
[11] Por una cuestión de comodidad, se utiliza el mensaje de texto como mecanismo de recuperación de información.
[12] Es posible utilizar el 2FA en Facebook, Twitter, Instagram, Hotmail, Binance, entre otros.
[13] https://www.cronista.com/infotechnology/actualidad/hackearon-a-una-jueza-y-estafaron-en-miles-de-dolares-ya-habian-caido-un-diputado-y-lavagna/ (último acceso: 12 de mayo de 2022).
[14] https://www.cronista.com/infotechnology/actualidad/nueva-estafa-virtual-pidieron-un-credito-por-home-banking-y-ahora-tiene-una-deuda-millonaria/ (último acceso: 12 de mayo de 2022).
[15] https://www.welivesecurity.com/la-es/2021/07/13/estafas-mas-comunes-mercado-libre-mercado-pago/ (último acceso: 12 de mayo de 2022).
[16] https://www.cronista.com/infotechnology/online/La-gran-estafa-argentina-vacian-tu-cuenta-bancaria-usando-una-billetera-virtual-20180116-0007.html (último acceso: 12 de mayo de 2022).
[17] https://www.lanacion.com.ar/seguridad/estafas-virtuales-405000-lo-que-salio-de-la-cuenta-y-otras-anotaciones-de-la-banda-que-robaba-lineas-nid08052022/ (último acceso: 12 de mayo de 2022).
[18] Si bien pueden contactar a otros usuarios que no se encuentran agendados, las probabilidades de éxito se reducen considerablemente.
[19] https://faq.whatsapp.com/690494414810591/?locale=es_LA (ultimo acceso: 24 de mayo de 2022).
[20] https://www.lanacion.com.ar/tecnologia/sim-swapping-pidieron-un-chip-a-su-nombre-y-le-robaron-la-linea-de-telefono-y-todas-las-cuentas-de-nid15112021/?gclid=Cj0KCQjwhLKUBhDiARIsAMaTLnEvV4pmUDQjT8iZjIRURn4WgbqhCHgBpfz79RADaipYAu2pH3dhwy8aAmIXEALw_wcB (ultimo acceso: 24 de mayo de 2022).
[21] https://www.infobae.com/america/tecno/2018/10/14/no-todo-sucede-en-la-dark-web-como-venden-cuentas-robadas-del-videojuego-fortnite-en-instagram/ (ultimo acceso: 24 de mayo de 2022).
[22] Puede ser el caso donde se utilice la cuenta y los datos de otra persona. No obstante, es información relevante para la investigación.
[23] http://www.bcra.gob.ar/MediosPago/Politica_Pagos.asp (último acceso: 13 de mayo de 2022).
[24] http://www.bcra.gob.ar/MediosPago/Politica_Pagos.asp (último acceso: 13 de mayo de 2022).
[25] https://www.adslzone.net/reportajes/telefonia/que-es-tarjeta-sim/ (último acceso: 10 de mayo de 2022).
[26] https://www.itu.int/rec/T-REC-E.212/es (último acceso: 10 de mayo de 2022).
[27] https://www.adslzone.net/reportajes/telefonia/que-es-tarjeta-sim/ (último acceso: 10 de mayo de 2022).
[28] Clave de identificación o Key Identification en inglés. Fuente: https://latam.kaspersky.com/blog/sim-card-history/6493/ (último acceso 15 de mayo de 2022).
[29] Traducción a cargo del autor. Fuente: https://www.telecomkhabar.com/2019/10/what-is-the-hardware-structure-of-sim-card/ (último acceso: 15 de mayo de 2022).
[30] https://www.qore.com/noticias/82331/REPORTE-Apple-comenzara-a-vender-iPhones-sin-ranura-SIM-en-2022/pagina/2 (ultimo acceso: 24 de mayo de 2022).
[31] https://ayudacliente.vodafone.es/particulares/movil/sim/cuantos-tamanos-de-tarjeta-sim-existen/ (último acceso: 10 de mayo de 2022).
[32] https://ayuda.movistar.com.ar/pregunta/que-es-una-esim.html (último acceso: 13 de mayo de 2022).
[33] https://ayudacliente.vodafone.es/particulares/movil/sim/que-es-el-codigo-icc-de-tu-tarjeta-sim/ (último acceso: 10 de mayo de 2022).
[34] Fuente: https://blog.cnmc.es/2012/06/28/los-otros-numeros-de-movil/ (último acceso: 16 de mayo de 2022).
[35] https://authy.com/help/ (ultimo acceso: 24 de mayo de 2022).
[36] https://support.google.com/accounts/answer/1066447?hl=es&co=GENIE.Platform%3DAndroid (último acceso: 15 de mayo de 2022).
[37] Se recomienda llevar dos ejemplares y presentar uno de ellos en la entidad, con fecha y firma del responsable de la recepción. En el otro, solicitar un recibido para acreditar dicha presentación.

 

*Técnico Superior en Informática y Redes de Datos. Técnico Superior en Soporte de Infraestructura de Tecnología de la Información. Diplomado en Cibercrimen e innovación digital. CEO y Fundador en derechoinformatico.ar  (info@derechoinformatico.ar)


Si desea participar de nuestra «Sección Doctrina», contáctenos aquí >>