El Sim Swapping es la técnica por la cual un atacante activa un sim con el mismo número de línea que la víctima, robando el teléfono por un lapso de tiempo que le permite acceder a todas las recuperaciones de claves y accesos, que se garantizan por la lógica de recaer los dobles factores de autenticación y token de seguridad como SMS contra la línea en cuestión.

Ya sea a través del engaño a la telefónica que provee dicha línea, impersonando a la víctima o con agentes internos en estas compañías que agilizan ese engaño, el Sim Swapping parece golpear en nuestro país particularmente a la política.

Marcelo D'alessandro, Diego Santilli y Cynthia Hotton fueron víctimas de dicho accionar en un corto tiempo.

¿Cómo funciona el "Sim Swapping"?

Para ser más claros: llaman a la telefónica proveedora de la línea, se hacen pasar por usted y piden reemplazar el SIM porque compró otro teléfono o lo perdió. La telefónica le hace una procedimiento de seguridad, que está casi totalmente basado en preguntas personales y le pide que recoja el sim de reemplazo en alguna casa de la marca o la envían a algún lugar.

Una vez que el atacante inserta el sim en su teléfono, mata la línea de la víctima, ya que no pueden coexistir dos teléfonos con el mismo número en la red. Lamentablemente la víctima tarda en darse cuenta de que se quedó sin línea porque sigue recibiendo correos y mensajería (por estar conectado a WiFi).

Claramente no se "hackea" a la víctima sino a la telefónica con ingeniería social. Más allá de quién pague por este hackeo, la responsabilidad es absolutamente de las telefónicas. Y nada pudo hacer la víctima para evitar este ataque.

El Sim Swappin consiste en clonar una tarjeta SIM para robar la línea telefónica de la víctima.

Si bien es un delito poco frecuente, viene creciendo y siempre tuvo como objetivo la estafa mediante el acceso a las cuentas bancarias. Con un claro fin: el dinero de la víctima. En estos casos mencionados la plata no fue el movilizante, sino el acceso a la información.

El Sim Swapping exige al atacante conocer a la víctima, googlearla y saber de quién se trata, ya que tiene que contestar preguntas de seguridad. Por lo tanto no son actos al azar sino bien pensado con objetivos claros y precisos.

Por otro lado las telefónicas (responsables absolutos) basan toda su operación en el paradigma de la "información privada", claramente roto hace ya un tiempo atrás. ¿De qué se trata este paradigma? de preguntar datos privados que solo la persona podía saber.

Por ejemplo: Hace tan solo 10 años atrás, ¿quién podría saber su documento, su dirección, su fecha de nacimiento más que usted?. Hoy en dia esos datos son públicos o se compran por unos cientos de pesos a empresas como Veraz o Nosis.

Claramente el paradigma de la pregunta y respuesta sobre información privada fue un buen método en el pasado que al no evolucionarlo las telefónicas sentencian a sus usuarios a ser víctimas de este flagelo.

Dicho esto, ¿por qué el Sim Swapping se volvió el juguete rabioso de los servicios?

En nuestro país la intervención legal de un teléfono por parte de la justicia, solo arroja los números entrantes y salientes del teléfono del investigado, el tiempo de duración de las llamadas, la posición de las antenas y solo el contenido de la llamada realizada por la línea telefónica. En mi caso hace por lo menos 6 meses que no hablo por línea telefónica con nadie.

Organismos públicos, políticos y periodistas han sufrido intentos de robo de datos privados en los últimos meses.

En los 90s la justicia basaba la mayor parte de las investigaciones en las escuchas telefónicas que además eran muchas veces y según el caso filtradas a la prensa ya que internet era más que incipiente.

Si no es judicial, los servicios pueden recurrir a software como Pegasus de la firma israeli NSO, que vende sistemas para intervenir digitalmente los teléfonos, osea hackearlos y acceder a toda su información incluyendo mensajería y sonido en tiempo real. Este software solo lo pueden comprar fuerzas gubernamentales y está clasificado como equipamiento militar. Por lo tanto la utilización por izquierda de estos software deja muchas huellas, ya que se interactúa con un proveedor y el costo por acceder a un solo número ronda los cientos de miles de dólares.

Por lo tanto, escuchar la línea de un teléfono, judicialmente es en vano y acceder a todos los jugosos datos del teléfono solo se puede hacer hackeando el mismo, mediante el software israeli dejando los dedos pegados y pagando una fortuna o… SIMSWAPPING: que solo requiere un infiltrado en la compañía telefónica o un hábil ingeniero social capaz de hacerse pasar por la víctima

Claramente no hay mucho que pensar para elegir el costo beneficio de cada opción.

Telegram o WhatsApp: ¿cuál es más seguro?

Telegram logró su fama, ya que fue la primera de las aplicaciones de mensajería que incorporó la habilidad de destruir los mensajes tanto del emisor como receptor al día, a la semana o en un tiempo definido. Pero Telegram tiene algo realmente malo, el almacena en sus servidores todos los mensajes, por lo tanto el acceso indebido a la cuenta de la víctima garantiza el acceso a toda la información de mensajes. y si la víctima nunca activo la autodestrucción o borrado de mensajes, le deja el historial servido al atacante.

Cuando se envía un mensaje en esta aplicación de un teléfono a otro, este queda en el teléfono del emisor y del receptor, pero no queda ningún historial guardado en los servidores centrales de Whatsapp. Por lo tanto, que un atacante acceda al Whatsapp de una persona, no tiene acceso a todo el historial de sus comunicaciones.

En Telegram, es fundamental activar la opción de "mensajes temporales".

Sim Swapping: ¿cómo protejo mi mail, Telegram y Whatsapp?

Lo primero, piense que si usa Telegram es solo por la capacidad de destruir mensajes automáticamente después de un tiempo, si no activó esta opción, Telegram se le va a venir en contra frente a un incidente.

En Telegram - vaya a Ajustes - Privacidad y Seguridad - Autoeliminar mensajes y defina el lapso de tiempo que permanecen vivos los mensajes.

Vuelva a abrir Telegram y vaya a Ajustes - Privacidad y Seguridad - Verificación en dos pasos y actívela. 

En Whatsapp: Active la verificación en dos pasos en: Configuración - Verificación en dos pasos y actívela.

Una vez que usted envía un mensaje de Whatsapp a otro teléfono y tiene 60 horas para borrarlo de su teléfono y del receptor. Pasado ese tiempo usted ya no tiene posibilidad de borrar ese mensaje en el dispositivo del receptor.