Parecer descabellado, pero la tarjeta SIM de nuestros celulares puede convertirse fácilmente en un arma que los piratas cibernéticos pueden usar en nuestra contra y sí, arruinarnos la vida, aunque todavía no se trate de una especie de ciberataque común entre los malditos hackers. Pero está en crecimiento y aún nadie nos lo ha advertido.

El intercambio de SIM o, como también se le conoce, el “SIM Swapping”, ocurre cuando un hacker a través de una práctica conocida como “ingeniería social” que consiste en engañar -a nosotros- los incautos con técnicas de persuasión y manipulación psicológica, confundiendo primero a los proveedores de telefonía haciéndolos creer que su cliente ha activado su tarjeta SIM en un dispositivo diferente. Así, el atacante, que también cuenta con una SIM en su poder, recibe el número de teléfono de la víctima para poder manipular sus contraseñas y entrar a sus cuenta personales como Gmail o Twitter. Esto puede suceder, por ejemplo, cuando olvidamos una de nuestras contraseñas y para restablecerla solicitamos un código vía SMS. “Es un ataque manual de fuerza bruta”, explica Jason Aten en Inc que, al implicar de un “esfuerzo decente” que incluso requiere de “un cierto grado de suerte”, se trata de una estafa relativamente simple que aún no ha empeorado, pero es momento de “comenzar a tomarla en serio”, advierte Aten.

La más reciente víctima de “SIM Swapping”, fue nuestro amigo Jack Dorsey, CEO de Twitter, quien al haber cedido a la fuerza su número telefónico irónicamente su cuenta de Twitter fue intervenida para hacer publicaciones racistas. Su caso no escaló, pero no es ni siquiera el peor de los ejemplos. En 2018, un inversionista estadounidense llamado Michael Terpin dijo haber perdido 24 millones de dólares en criptomonedas después de que, supuestamente, AT&T permitiera que un grupo de hackers robara su número telefónico. Demandó a la compañía telefónica explicando en su denuncia que:

“Lo que hizo AT&T fue como un hotel que le da a un ladrón una identificación falsa, una llave de la habitación y una llave de la caja fuerte para robar joyas en la caja fuerte del dueño legítimo”.

El caso de Terpin fue excepcional ya que los hackers requirieron de la cooperación empleado de AT&T para transferir su información. Como resultado de la demanda, la empresa le aseguró que implementaría una mayor seguridad a su cuenta.

De acuerdo con la directora de investigación de seguridad en Flashpoint, Allison Nixon, el mayor de los retos es hacer que las empresas de telefonía comience a reconsiderar la forma en que protegen la información de sus clientes. “Si crea un sitio web que utiliza 2FA basado en SMS, y también permite el mismo número de teléfono para usar en el restablecimiento de contraseña, acaba de crear un proceso de inicio de sesión autodestructivo. Y deberías sentirte mal”, tuiteó Nixon después del ataque a Dorsey.

Nixon recomienda que la mejor forma de solucionar este problema sería “dejar de usar números de teléfono” o mejor aún, que la empresas establecieran una verificación adicional “con información no publica” para perfeccionar el restablecimiento de las contraseñas. Sin embargo, Aten apunta que tristemente otras de las problemáticas tiene que ver con los mismos usuarios quienes, intuye, podrían no estar interesados en perder su tiempo en mejorar su seguridad:

“Cada sistema orientado al cliente que una empresa implementa tiene que equilibrar la cantidad de trabajo que un cliente debe hacer para cumplir con sus necesidades y el desafío que el sistema presenta para un malo. Cuanto más difícil es para un chico malo, generalmente es más complicado para el cliente. Hazlo demasiado difícil, y los clientes simplemente irán a otro lugar, incluso si les conviene quedarse”, explica.

No es que Aten o nosotros estemos tratando de revictimizar a las personas que han sido blancos del Swapping, pero es que en medio del latente crecimiento de este método de falsificación cibernética, parece que nadie ha hecho nada para tratar de repelerlo al no considerar que algún día podría convertirse en una práctica común.