El timo de la SIM duplicada: si su teléfono hace cosas raras, revise la cuenta bancaria
El fraude conocido como 'sim swapping', muchas veces precedido por el robo de otros datos, ha ganado relevancia en los últimos años, según la Guardia Civil y los expertos
“¡Maldita tecnología!”. Este pensamiento habitual cuando el móvil se traba o se apaga sin preaviso asaltó a Mario Fernández (quien pide ser citado con un falso nombre) cuando una mañana su smartphone dejó de tener cobertura. Estaba en el trabajo e hizo lo que cualquiera: apagar y volver a encender. No funcionó. Una vez en casa, desde otro teléfono llamó a su compañía para explicar lo que le ocurría. Entonces se dio cuenta de que el problema lo tenía él. “Me dijeron que había solicitado un duplicado de mi tarjeta SIM en una sucursal de otra ciudad”, relata, “y les contesté que no era así”. Acto seguido se le encendió la bombilla y fue a revisar su cuenta bancaria online: estaba bloqueada. Se puso en contacto con su entidad, que confirmó que se la había congelado tras detectar movimientos raros y le recomendó consultar su saldo en un cajero. Dicho y hecho: varios miles de euros habían desaparecido y tenía solicitado a su nombre un préstamo por otros 50.000. Sin saber cómo, alguien había usurpado su identidad para acceder a su información personal y lucrarse con ella.
“Podría haber sido consecuencia de sim swapping [suplantación de la tarjeta SIM del móvil, en castellano]”, dice Carlos Vico, teniente del grupo de delitos tecnológicos de la Guardia Civil, quien asegura que este tipo de estafa, que se lleva a cabo a través de chips telefónicos, va al alza. “No tenemos el número preciso de denuncias, pero está habiendo un aumento importante de estos casos cada año”, detalla. La usurpación de Fernández todavía está siendo investigada por la Guardia Civil.
Vico explica que muchas de estas estafas acarrean el robo previo de los datos de la cuenta bancaria de las víctimas y que el duplicado de la tarjeta SIM del móvil es fundamental para obtener la doble verificación que exigen muchos bancos al realizar pagos o los servicios de correo electrónico para cambiar la contraseña. Esta consiste en el envío de un mensaje de texto al teléfono del titular para que confirme la operación con un código que se le proporciona. “Los primeros casos tuvieron lugar en Estados Unidos y desde el año 2015 este tipo de fraude también comenzó a ganar relevancia en España”, agrega el teniente.
“El teléfono es casi siempre el segundo paso de verificación”, confirma Carles Garrigues, profesor de Informática en la Universitat Oberta de Catalunya. “Y el robo de las contraseñas puede haber sido por phishing [un fraude informático con el que se consigue información privada del usuario], el rey de las estafas”. Garrigues explica que los ciberdelincuentes pueden hacerse con datos sensibles de sus víctimas también a través de apps fraudulentas que extraen información de los smartphones sin que nos demos cuenta o de señales de wifi falsas.
“Por ejemplo, crees que te estás conectando a Gmail y en realidad es otra página; la situación puede convertirse en crítica cuando los delincuentes logran hacerse con la contraseña del correo electrónico de la víctima, que suele ir a asociada a varios servicios”, asegura el docente, quien recomienda siempre vigilar lo que instalamos en nuestros dispositivos y revisar los permisos que solicitan, ser prudentes con las conexiones abiertas y cuidadosos con las contraseñas que elegimos. “Pero la seguridad absoluta es muy difícil de lograr”, concluye.
Fernández, de 37 años y residente en Almería, todavía no logra entender qué pasó ese día. Explica que hasta que le falló la cobertura del móvil no había notado nada raro. “Cuando vi la cuenta del banco me tuve que ir a urgencias para que me dieran algo para tranquilizarme”, explica. Inmediatamente después denunció lo ocurrido a la Guardia Civil y se puso en contacto con su banco. “Ahora el asunto económico está solucionado, pero no entiendo qué ha podido pasar”, relata.
El duplicado de la tarjeta de Fernández se realizó en una tienda de Vodafone en Tarragona, a 700 kilómetros de su residencia, según él mismo dice haber sabido de la operadora. “Mi objetivo es aclarar lo que ha pasado”, insiste Fernández, quien ha presentado una reclamación ante el organismo autonómico de Consumo contra la compañía. Vodafone explica por su parte que el protocolo a seguir para entregar duplicados de SIM es muy estricto, ya que solo se puede realizar tras entregar la clave de acceso del usuario —un código de cuatro dígitos que él mismo ha puesto— o presentando el DNI, la dirección de facturación y los cuatro últimos dígitos de la cuenta bancaria. “Sin DNI no se hace duplicado”, repite la empresa, que dice no tener constancia de otras incidencias de este tipo.
El teniente Vico explica que los delincuentes, que pueden ser desde estudiantes con conocimientos informáticos hasta grupos organizados en estafas y fraudes bancarios, suelen emplear técnicas de ingeniería social para lograr los datos personales de la víctima —también ciberataques o compras en el mercado negro de la deep web, entre otras técnicas— y después engañar a los empleados de las tiendas. “Lo más común es que digan que se les ha perdido la tarjeta”, detalla. Por ello, el experto en seguridad informática recomienda que la verificación en dos factores que exigen muchos servicios se base en claves de seguridad física (como las huellas dactilares) en lugar de en mensajes de texto, además de aconsejar almacenar las claves privadas en un dispositivo que no esté conectado a Internet.
Fernández acabó comprándose un nuevo móvil y modificando todas sus contraseñas. “Pero lo peor han sido los días en urgencias y los tranquilizantes para la ansiedad”, asegura. Por precaución, también borró todos los datos que tenía en la nube. “Nombres, teléfonos, números de cuenta... Es más: me sorprendió la cantidad de información que guardamos ahí”.
Sobre la firma
