Medidas cada vez más contundentes contra el Port-out-fraud y el SIM swapping

El fraude de intercambio de tarjetas SIM (SIM swap fraud o SIM swapping) y el port-out-fraud o fraude de portabilidad son amenazas que han llevado a las autoridades de diversos países a considerar acciones regulatorias más estrictas ya que, hasta el momento, la respuesta de los operadores a estos ataques ha sido inadecuada. 

E

n enero de 2024, la Comisión Federal de Comunicaciones (FCC) de los Estados Unidos lanzó la regulación Protegiendo a los consumidores del SIM swap y el Port-Out-Fraud (Protecting Consumers from SIM-Swap and Port-Out Fraud, FNPRM), cuyo objetivo principal es, además de proteger a los usuarios de estas prácticas fraudulentas, concienciar a las compañías del compromiso que deben adquirir mediante la implementación de una amplia batería de medidas. Entre ellas: 

• Las compañías telefónicas deberán utilizar métodos de autenticación más seguros para verificar la identidad de los usuarios antes de realizar cambios en sus cuentas, como la reposición de la tarjeta SIM o la transferencia del número de teléfono. 

• También notificarán inmediatamente a los usuarios cuando se realice cualquier solicitud de cambio en su cuenta, como la reposición de la tarjeta SIM o la transferencia del número de teléfono. 

• Implementarán medidas de seguridad adicionales para proteger la información personal de los usuarios, como el uso de cifrado y la protección contra ataques de phishing. 

• La capacitación a los empleados para identificar y prevenir intentos de fraude será un punto esencial. 

• Las compañías telefónicas estarán obligadas a reportar a la FCC los incidentes de fraude relacionados con SIM swapping y port-out fraud

A más de un año de su aprobación, algunas operadoras han adaptado sus procesos, mientras que otras enfrentan cuestionamientos por demoras o incumplimientos.

¿En qué consisten estos fraudes? 

Veamos cómo funcionan estas dos estrategias, y cuál es la magnitud del daño que pueden causar. 

El SIM swapping, también conocido como robo de tarjeta SIM, consiste en la obtención fraudulenta de un duplicado de la tarjeta SIM de un usuario de telefonía móvil. Una vez que los ciberdelincuentes tienen la tarjeta clonada, pueden interceptar sus mensajes de texto, llamadas y, en algunos casos, incluso acceder a sus cuentas bancarias y redes sociales. 

Los ciberdelincuentes utilizan diversos métodos para llevar a cabo el SIM swapping. En algunos casos, obtienen la información personal de la víctima a través de ingeniería social, phishing o incluso mediante la compra de datos en la dark web. Con esta información, se hacen pasar por el usuario legítimo ante la compañía telefónica y solicitan la reposición o el duplicado de la tarjeta SIM. 

En otros casos, los ciberdelincuentes aprovechan vulnerabilidades en los sistemas de las operadoras telefónicas para interceptar o desviar los mensajes de texto que contienen códigos de verificación para acceder a las cuentas de la víctima. 

En resumen, la estructura de este procedimiento constaría de los siguientes pasos: 

1. Selección de la víctima y recolección de información: Los delincuentes obtienen información de la víctima para persuadir a los operadores de telefonía a transferir el número.
2. Solicitud de transferencia: Contactan al operador fingiendo ser la víctima para solicitar la transferencia del número.
3. Intercepción de mensajes: Usan el número comprometido para interceptar mensajes de un solo uso (OTP) y acceder a cuentas.
4. Transferencia de vuelta: Para evitar sospechas, pueden transferir el número de vuelta al dispositivo original de la víctima. 

Por otro lado, el fraude de portabilidad de número telefónico, también conocido como portación fraudulenta, robo de número telefónico o secuestro de número, consiste en la transferencia del número de teléfono de un usuario de una compañía telefónica a otra sin su consentimiento. Los ciberdelincuentes llevan a cabo este fraude con el objetivo de acceder a las cuentas y servicios asociados al número de teléfono de la víctima, como la banca online, las redes sociales o incluso el correo electrónico. 

Tras el robo de información personal a través de técnicas que ya hemos comentado, los delincuentes se hacen pasar por el usuario legítimo ante la compañía telefónica de destino y solicitan la portabilidad del número. Para completar la portabilidad, la compañía de destino suele enviar un código de verificación (OTP) al número de teléfono de la víctima. Los ciberdelincuentes, que ya tienen el control del número gracias al SIM swapping o a otras técnicas, interceptan este código y lo utilizan para completar la portabilidad sin el conocimiento del usuario legítimo. 

Así pueden saber los consumidores que están siendo víctimas de SIM swapping o fraude de portabilidad 

La prevención es la mejor arma contra el fraude, y saber interpretar los indicios de actividades fraudulentas puede ayudar a los ciudadanos a mantenerse a salvo del SIM swapping o el port-out-fraud. 

• Imposibilidad de realizar llamadas o enviar mensajes de texto: Si un usuario experimenta fallos al intentar comunicarse, ya sea por llamadas o mensajes, esto podría ser un indicio de que su tarjeta SIM ha sido desactivada por los estafadores para controlar su número de teléfono. 

• Notificaciones de actividad en otro dispositivo: Si un usuario recibe alertas de su operador de telefonía indicando que su tarjeta SIM o número de teléfono ha sido activado en otro dispositivo, es una señal clara de que algo anda mal. 

• Incapacidad para acceder a sus cuentas: Si un usuario de repente no puede ingresar a sus cuentas bancarias, de redes sociales o de cualquier otro servicio online utilizando sus credenciales habituales, es posible que los estafadores hayan cambiado sus contraseñas y nombres de usuario tras obtener acceso a su número de teléfono. 

• Transacciones no reconocidas en sus cuentas bancarias: El usuario debe revisar cuidadosamente sus estados de cuenta bancarios y de tarjetas de crédito. Si detecta transacciones que no ha realizado, es probable que los estafadores hayan accedido a su información financiera y ya la estén utilizando de forma fraudulenta. 

Cómo prevenir los ataques de intercambio de SIM 

Una combinación estratégica de tecnología y mejores prácticas de seguridad es la clave para contener el fenómeno del fraude de intercambio de SIM. 

El uso de software especializado para detectar intentos de intercambio de SIM es una de las primeras líneas de defensa. Estas herramientas monitorean actividades sospechosas y alertan a los usuarios y proveedores de servicios móviles sobre posibles intentos de fraude. Pueden identificar patrones inusuales en las solicitudes de cambio de SIM y prevenir el acceso no autorizado. 

La autenticación de dos factores añade una capa adicional de seguridad al requerir dos formas de verificación (o más, en cuyo caso hablaríamos de autenticación multifactorial o MFA) antes de permitir el acceso a una cuenta. Además del nombre de usuario y la contraseña, los usuarios deben proporcionar un código enviado a un dispositivo de confianza. Esto dificulta que los estafadores accedan a cuentas incluso si logran obtener la información de inicio de sesión.  

Examinar los números de teléfono móviles sin interrumpir la experiencia del usuario es posible con herramientas de inteligencia de números telefónicos. Estas soluciones permiten verificar la autenticidad del número y detectar actividades sospechosas asociadas con intentos de fraude. 

Las autorizaciones silenciosas de red son menos vulnerables a las estafas de ingeniería social. Este método permite la verificación y autorización de cambios en la red sin alertar a los estafadores, proporcionando una capa adicional de seguridad para la información del usuario. 

Por último, la autenticación biométrica, ganando cada vez más protagonismo dentro de los esquemas de identidad y acceso, como el reconocimiento facial o de huellas dactilares, es otra alternativa robusta a las contraseñas tradicionales. Estas técnicas son difíciles de hackear y ofrecen una seguri

Regulación internacional y contexto global del SIM swapping

El impacto global del fraude por intercambio de SIM y portabilidad fraudulenta ha impulsado una respuesta normativa más allá de las fronteras de Estados Unidos. La regulación de la FCC en 2024 fue un punto de inflexión, pero otros países y bloques regionales también han comenzado a abordar este fenómeno desde sus marcos regulatorios específicos, adaptando las medidas a sus propios sistemas jurídicos y de protección de datos.

Unión Europea: identidad digital y protección de datos

En la Unión Europea, aunque no existe una normativa específica para el SIM swapping como tal, hay varias iniciativas que lo abordan de forma indirecta:

• Reglamento eIDAS 2.0: aprobado en 2024, establece las bases para la identidad digital europea (EUDI Wallet), que incluye mecanismos de autenticación de alta seguridad. La implementación de esta identidad digital estandarizada y verificada podría reducir el riesgo de fraudes como el SIM swapping al centralizar y fortalecer la validación del usuario.

• Reglamento General de Protección de Datos (GDPR): obliga a los proveedores de servicios a proteger adecuadamente los datos personales de los usuarios. Las brechas que permiten el SIM swapping pueden derivar en sanciones si se demuestra que hubo negligencia en la custodia de la información.

• Algunos países como España, Alemania o Francia han comenzado a exigir doble autenticación reforzada para cambios en datos sensibles, incluyendo el número de teléfono asociado a servicios digitales o bancarios.

Canadá: foco en telecomunicaciones y protección del consumidor

En Canadá, la autoridad reguladora CRTC (Canadian Radio-television and Telecommunications Commission) ha intensificado la presión sobre las operadoras para mejorar sus prácticas de verificación de identidad.

Desde 2023:

• Se exige que los operadores implementen medidas antifraude antes de completar solicitudes de cambio de SIM o portabilidad.

• Se promueve el uso de verificaciones biométricas y tokens únicos como alternativa a los códigos de verificación por SMS.

• La Oficina del Comisionado de Privacidad también ha comenzado a investigar los casos de SIM swap como violaciones a la privacidad, estableciendo precedentes legales.

Brasil: LGPD y regulación financiera

En Brasil, la Lei Geral de Proteção de Dados (LGPD) y la creciente digitalización del sector bancario han motivado a la Agência Nacional de Telecomunicações (ANATEL) a implementar alertas obligatorias y mecanismos de validación robusta.

Además:

• Algunos bancos ya utilizan comprobaciones cruzadas entre operadores y entidades financieras antes de autorizar transferencias sensibles, como parte de sus sistemas de prevención de fraude.

• La colaboración público-privada en plataformas de inteligencia antifraude está creciendo, con foco especial en SIM swapping y ataques similares.

Tendencia común: autenticación reforzada y responsabilidad compartida

La narrativa global es clara: la responsabilidad ya no recae exclusivamente en los usuarios. Los reguladores están exigiendo que operadoras, bancos y proveedores digitales compartan la carga de la ciberseguridad mediante:

• Autenticación multifactorial obligatoria.

• Alertas en tiempo real.

• Sanciones por mala praxis o negligencia.

• Coordinación entre sectores para el rastreo de fraudes.

Adoptar estas prácticas y tecnologías no solo fortalece la seguridad contra el intercambio de SIM, sino que también protege la integridad de los datos y la confianza de los usuarios en los sistemas de seguridad en general. 

Mientras este tipo de actividades siga creciendo, y con ellas las pérdidas económicas millonarias, será necesario legislar con contundencia y mantener actualizadas las estrategias de defensa. 

Solicite un asesoramiento personalizado con nuestros expertos en seguridad y proteja su empresa