SIM swapping, duplicación de SIM o suplantación de la tarjeta SIM es un tipo de fraude realizado mediante la tarjeta SIM. Dicho fraude permite acceder a cuentas ajenas mediante la explotación de una debilidad en la autenticación de múltiples factores en la que el segundo factor es un mensaje de texto (SMS) o una llamada realizada a un teléfono móvil.
Cómo funciona el fraude
El fraude explota la capacidad de un proveedor de servicios de telefonía móvil para transferir un número de teléfono a un dispositivo que contiene una tarjeta SIM diferente. Esta función se usa normalmente cuando un cliente ha perdido o le han robado su teléfono, o está cambiando el servicio a un teléfono nuevo.
La estafa comienza con un defraudador que recopila datos personales sobre la víctima, ya sea mediante el uso de correos electrónicos de phishing, comprándolos a delincuentes organizados o directamente manipulando a la víctima.
Una vez que el defraudador ha obtenido estos datos, se pone en contacto con el proveedor de telefonía móvil de la víctima. El estafador utiliza técnicas de ingeniería social para convencer a la compañía telefónica de que transfiera el número de teléfono de la víctima a la SIM del estafador. Esto se hace, por ejemplo, haciéndose pasar por la víctima utilizando datos personales para parecer auténticos y alegando que ha perdido su teléfono. En algunos países, especialmente en India y Nigeria, el defraudador tendrá que convencer a la víctima de que apruebe el intercambio de SIM presionando 1.
Incluso existen caso en que los números de SIM son cambiados directamente por empleados de empresas de telecomunicaciones que son sobornados por delincuentes.
Una vez que esto suceda, el teléfono de la víctima perderá la conexión a la red y el estafador recibirá todos los SMS y las llamadas de voz destinadas a la víctima. Esto le permite al estafador interceptar cualquier contraseña de un solo uso enviada a través de mensajes de texto o llamadas telefónicas enviadas a la víctima, y así eludir cualquier característica de seguridad de las cuentas (ya sean cuentas bancarias, cuentas de redes sociales, etc.) que dependen de mensajes de texto o llamadas telefónicas.
« Índice del glosario