Expuestos al SIM swapping: hora de subir el listón de seguridad al conceder duplicados de tarjeta

Expuestos al SIM swapping: hora de subir el listón de seguridad al conceder duplicados de tarjeta
20 comentarios

La digitalización, el avance tecnológico y el paso de los años en general han ido configurando un escenario en el que nuestro teléfono móvil es la identificación última para que multitud de servicios confirmen que somos quienes decimos ser. El DNI electrónico lleva con nosotros desde 2006 y sigue sin ser nada parecido a algo sencillo y universal con lo que identificarnos digitalmente. Hasta tenemos el servicio CL@VE para identificarnos con nuestro smartphone. A falta de tarjeta, bueno es el móvil.

Este escenario, bastante cómodo y conveniente, tiene un lado perverso: dejarnos en manos del móvil hace que cualquiera que tome su control puede hacerse pasar por nosotros. Y no hace falta que sea físicamente, basta con tener una SIM asociada a nuestro número. Y ese es posiblemente el eslabón más débil de la cadena. Donde entra el SIM swapping.

Una SIM con nuestro número = vía libre en nuestro banco

El paso de los años también nos ha dejado casos de pesadilla en los que una persona cualquiera de pronto se quedaba sin cobertura, sin línea activa (la antesala del horror), para descubrir poco después que su cuenta bancaria se había quedado a cero.

El empleado de tienda de operadora, el eslabón más débil ante el SIM swapping

Todas estas historias tienen como epicentro del mal el momento en que alguien se hace pasar por nosotros, normalmente en una tienda física de la operadora en cuestión. Un empleado de la misma es quien debe cerciorarse de que el DNI presentado es auténtico y la persona que lo entrega coincide con la que aparece en la foto del documento, pero en la práctica, en algunas ocasiones, este control falla.

Una vez el usurpador de identidad tiene acceso a una SIM asociada a nuestro teléfono móvil, y ya conoce nuestro DNI, tiene vía libre para acceder a nuestra banca digital pidiendo el restablecimiento de la contraseña, vía SMS. El SMS como principio y como final.

La intersección entre la seguridad y nuestro teléfono móvil ha pasado por varias fases. El 11-M fue el detonante para empezar a exigir identificar vía DNI a cualquier persona que quisiera dar de alta un número de teléfono, luego la implantación masiva del móvil dio alas a los bancos para empezar a reemplazar las ya extintas tarjetas de coordenadas por los SMS de verificación. El auge del SIM swapping en los últimos años debería haber servido para empezar a requerir protocolos de seguridad mucho más fuertes a la hora de duplicar tarjetas SIM. Tratar este trámite como lo que es: una gestión que si no se hace de manera exhaustiva, cotejando el rostro del documento con la misma precisión que en un control fronterizo ruso, puede desembocar en usurpaciones de identidad que a su vez desemboquen en robos y otros actos delictivos graves.

Mejores herramientas que los SMS o una doble verificación humana para pedir un duplicado

Los entornos bancarios, que suelen llevar la delantera en cuanto a seguridad, vieron cristalizar el último paquete de medidas en torno a la verificación de la identidad con PSD2, la directiva de servicios de pago de segunda generación que entró en vigor en 2019. No estaría mal algo similar en el sector de las telecomunicaciones: una estrategia que sirva para anular o al menos complicar mucho más el SIM swapping, uno de los grandes males de nuestros días, una lotería macabra que a quien le toca le cuesta como mínimo unos días malos, y quizás muchos euros perdidos por el camino, cuando no tener que hacer frente durante mucho tiempo a procesos judiciales para resolver préstamos no solicitados.

En este sentido, una práctica ajena a las telecos pero que facilita enormemente el SIM swapping es la de solicitar una foto del DNI para cualquier transacci´ón online, incluyendo operaciones de compraventa de productos de segunda mano. En algunos casos, la intención última del vendedor no es vender el producto, sino conseguir el DNI de algún incauto, para lo que se puede ayudar incluso de poner un precio demasiado barato para el producto en cuestión. Algo que facilita su venta rápida y disuade al comprador de hacer demasiadas preguntas o ponerse pejiguero.

Tampoco estaría de más, volviendo a las telecos, apoyarse en un proceso más seguro que los SMS como método de autenticación de la identidad. Herramientas de autenticación en dos pasos, como Google Authenticator (Microsoft, Apple y muchos otros también tienen las suyas propias), pueden ser un gran punto de partida. Algo que no sea tan pasivo como recibir un SMS sin más.

Otra idea: crear la opción de añadir más de un titular a una línea. O un titular y un autorizado, como en las cuentas bancarias, y que sea necesario una doble validación para algo tan delicado como un duplicado de SIM. Al menos respondiendo telefónicamente y dando datos sobre la línea que confirmen que el autorizado también es quien dice ser.

Una práctica, por cierto, que también serviría para agilizar ciertos trámites, como un cambio de tarifa o una portabilidad, a personas que no se defienden bien en entornos así, como algunas personas mayores o gente impedida que no puede salir de casa. La doble verificación humana también podría ser por parte del operador, del personal responsable de hacerla en tienda, si bien esto podría complicarse en muchas tiendas de un solo empleado por turno o donde el socio se autoemplea en solitario. Será por ideas y posibilidades.

En definitiva, avances que hagan más segura nuestra línea móvil. Sobre todo ahora que llevamos años viendo los estragos que puede causar un duplicado de SIM que cae en las manos equivocadas.

Temas
Inicio