Sydney Sweeney sabe muy bien lo que es el SIM swapping. Y no es precisamente un trabalenguas

La seguridad es uno de esos campos de actividad que nos recuerdan que el mundo es un lugar imperfecto. Si no lo fuera, no tendríamos que preocuparnos por la integridad de los bienes o de las personas. O, en la era de las telecomunicaciones y las tecnologías de la información, de nuestros activos digitales, entre los que se encuentra nuestra propia identidad.

Nos hemos acostumbrado a tener que demostrar que somos nosotros, y no otros, los que accedemos a servicios online, servidores, páginas web o cualquier otra cuenta registrada con nuestras credenciales de usuario. Al principio, bastaba con un nombre de usuario y una contraseña simple. Con el paso del tiempo, nos han pedido complicarlas para evitar su hackeo por parte de los ciberdelincuentes.

A medida que la potencia de cálculo de los ordenadores crece, también se incrementa la potencia de “hackeo” a disposición de los ciberdelincuentes. La encriptación de datos e información ha ido incrementando su complejidad, hasta el punto de que, al menos hasta que lleguen los ordenadores cuánticos comerciales, dichos datos estarán a salvo.

El ser humano, el eslabón más débil 

De todos modos, por mucho que la seguridad mejore, somos nosotros los que, en muchas ocasiones, estamos detrás de las brechas de seguridad. Cuando, por ejemplo, usamos la misma contraseña, por segura que sea, en diversos servicios y webs, estamos debilitando la seguridad de nuestra información, datos o nuestras finanzas. O cuando escribimos nuestras contraseñas en un papel o en una nota en nuestro smartphone. 

Para reducir el impacto de estas debilidades, es frecuente (por no decir obligatorio), al menos en los servicios con datos e información más crítica, como banca, salud o redes sociales, usar un doble factor de autenticación o 2FA.

Imagen generada por ChatGPT.

Es decir, no solo necesitamos una contraseña: los proveedores de servicio pedirán que confirmemos que somos nosotros y no otros quienes están accediendo, por ejemplo, a nuestro banco o a una red social. Para ello, se suele usar el dispositivo móvil, generalmente, a través de SMS. Así, nos enviarán una clave de uso único para confirmar que quien está delante del ordenador es el verdadero usuario y no un hacker que hubiera robado las contraseñas.

Decimos “generalmente” porque también se usan aplicaciones especiales que se encargan de generar los códigos de doble factor sin que intervengan mensajes de texto de por medio.

El eslabón aún más débil de la ciberseguridad

El uso de SMS podría parecer un método infalible para verificar nuestra identidad, ¿no? Pues no: y aquí entra en acción Sidney Swapping o SIM Sweeney. En realidad, hablamos del SIM swapping, que es el tipo de hackeo que sufrió la actriz Sidney Seeney hace un tiempo.

En este caso, los hackers se apropian de datos de los usuarios tan aparentemente inofensivos como el DNI, la fecha de nacimiento, el nombre de algunos familiares, dirección o direcciones y convencen a los empleados de las operadoras de telefonía con quien tengan contratado el servicio de que tienen que hacer un duplicado de la SIM.

Imagen generada por ChatGPT.

Aquí entra la ingeniería social; gracias a la cual, los empleados poco avispados acaban por seguir los dictados de los hackers y ponen en sus manos, al menos durante el tiempo que tarde el propietario de la línea en darse cuenta de que algo falla (su línea aparecerá como "sin servicio", lo cual puede hacer que incluso esperen un tiempo para ver si el problema se resuelve solo), el acceso a los SMS con las claves de doble autenticación que tuvieran configuradas.

También entran en juego otras técnicas de ataque, como el phishing, que permite a los ciberdelincuentes obtener datos e información personales (DNI, teléfono, direcciones, datos sanitarios o laborales o financieros).

A Sidney Sweeney, en concreto, le costó el hackeo de su perfil en X (antes Twitter). Los delincuentes se apoderaron de su cuenta para promocionar una estafa de criptomonedas. El acceso a los servicios financieros, o incluso a monederos digitales, el correo, con aún más datos sensibles expuestos, las notas donde podríamos tener un listado con contraseñas, es también posible cuando se sufre un ataque de SIM Swapping.

Síntomas de que has sido objeto de un duplicado de SIM fraudulento

En algunos casos, incluso algunas apps de mensajería pueden ser vinculadas al terminal del ciberdelincuente con el duplicado de la SIM. En ese caso, el riesgo aumenta. 

Si recibimos mensajes en el correo del estilo: “Nuevo dispositivo inició sesión en tu cuenta”, “Se solicitó un código de verificación”, “Se inició un restablecimiento de contraseña”. O si incluso recibimos peticiones en apps 2FA para conceder acceso a nuevos dispositivos, debemos verificar con la operadora que no haya habido duplicados de SIM.

El uso de apps de seguridad como Bitdefender Mobile Security para Android e iOS ayudará a la hora de identificar amenazas o apps maliciosas incluso. 

La protección como medida de prevención

La forma de evitar que suframos este tipo de ataques u otros consiste, en primer lugar, en prevenir. A pesar de que los filtros antispam de las aplicaciones y servicios de correo funcionan muy bien, y de que la protección nativa frente a malware de los sistemas operativos o incluso los smartphones ha mejorado, no está de más usar herramientas de proveedores de soluciones de seguridad especializados en la materia.

Además, tenemos incluso herramientas gratuitas, que pueden hacer un buen trabajo como medida profiláctica. Sin ir más lejos, Bitdefender cuenta con Bitdefender Scamio y con Bitdefender Linkchecker. La primera, es un detector de scam. Un scam es una estafa o timo realizado a través de medios digitales (internet, correo electrónico, redes sociales o SMS) con el objetivo de robar dinero o información confidencial. Funciona como un chatbot de IA en el que usamos como prompt texto, enlaces o incluso códigos QR para verificar que no nos llevan a webs fraudulentas.

Bitdefender Linkchecker, por su parte, permite introducir una dirección web y comprobar si conduce a destinos fraudulentos. De nuevo, se trata de una herramienta gratuita a la que podemos recurrir para verificar que no vamos a ser víctimas de un fraude.

Protección total con propuestas de pago 

Las herramientas de protección gratuitas o las que vienen con el sistema operativo cumplen una buena función, pero precisan de interacciones bajo demanda cada vez que queremos comprobar el estado de la seguridad de nuestros equipos y dispositivos móviles.

Es decir, tenemos que estar pendientes de lo que hacemos para gestionar la seguridad, verificar que tenemos instaladas y operativas las herramientas que usemos, o consultar en cada momento si los enlaces, SMS, correos, aplicaciones u otros contenidos de dudosa procedencia son legítimos o no.

Si queremos que esta gestión de la seguridad funcione de un modo esencialmente desatendido y en todos nuestros dispositivos e incluso en el de nuestros familiares, lo más recomendable es recurrir a soluciones basadas en suscripción. Bitdefender Ultimate Security, sin ir más lejos, integra en una única solución todas las funcionalidades que podemos necesitar para mantener nuestros dispositivos e identidad a salvo.

Este paquete de seguridad ofrece una protección integral para dispositivos en múltiples plataformas, incluyendo Windows, macOS, Android e iOS. Protege contra ransomware, antivirus y antimalware. Viene con herramientas de protección contra cryptomining, una innovadora seguridad para el correo electrónico y el sistema Scam Protection Pro, impulsado por inteligencia artificial.

En el ámbito de la privacidad, incluye el gestor de contraseñas Password Manager y ofrece tráfico VPN ilimitado con acceso a más de 4.000 servidores en 50 países, complementado por un bloqueador de anuncios y rastreadores, activo en todo el sistema.

También cuenta con protección de la identidad mediante la herramienta Digital Identity Protection, que permite la detección de violaciones de seguridad, la monitorización de la Internet oscura, la visualización de nuestro rastro digital y el envío de notificaciones de vulneraciones en tiempo real.

En la modalidad familiar, también incorpora tecnologías de control parental que permiten monitorizar y configurar la seguridad de los menores.

Una buena propuesta para la seguridad integral de nuestra identidad digital

Bitdefender Ultimate Security es una completa solución de seguridad que contempla la detección y mitigación de estafas en tiempo real. E incluye tecnologías y herramientas que permitirán que estemos más tranquilos a la hora de llevar cuenta de nuestra identidad digital. Y también a la hora de protegerla.

Incluye protección frente a estafas online en las actividades de navegación, detección de tácticas y patrones fraudulentos, monitoriza los buzones de correo web, identifica técnicas de scam y phishing, e incluso monitoriza los SMS y conversaciones de WhatsApp, Facebook Messenger, Telegram, Discord o invitaciones de calendario mediante IA en nuestro smartphone.

Si la actriz hubiera contado con esta herramienta, tal vez habría evitado o reducido el impacto del SIM Swapping. Aunque, como medida general, es conveniente decir que es mejor usar una autenticación de doble factor (2FA) que los SMS. Dicho queda.

Imágenes: Adobe Stock (Anat art), Bitdefender y ChatGPT