Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
Las nuevas fórmulas de identidad electrónica: El “jaque mate” perfecto contra el SIM swapping
La suplantación de nuestro número de teléfono, uno de los fraudes más refinados del momento, demuestra la debilidad de los SMS de verificación frente al avance de la ciberdelincuencia
Desde que el desarrollo de la tecnología digital, la comunicación inalámbrica y la inteligencia artificial lo hicieron smart, el teléfono móvil se ha vuelto tan útil que ya es un objeto de primera necesidad. Más de 5,22 billones de personas, es decir, el 66,6% de la población mundial utiliza al menos un móvil, según el último informe anual de We Are Social y Hootsuite sobre tendencias digitales. Al convertirse en algo tan utilizado, nuestros smartphones también se convierten en un foco de riesgos. En ellos guardamos mucha información confidencial y «centralizamos» muchas actividades igualmente sensibles, como las compras online, las transferencias bancarias y las autorizaciones por SMS que hacemos de estas dos. Este uso privilegiado de nuestros smartphones, en consecuencia, ha dado alas a la ciberdelincuencia más sofisticada.
Las últimas alertas apuntan al auge del SIM swapping, esto es, la suplantación de la tarjeta SIM de nuestros móviles. Por medio de «ingeniería social» (es decir, de trampas o manipulación psicológica a personas y empresas), el estafador «duplica» nuestro número de teléfono y obtiene acceso a un sinfín de datos, apps y operaciones personales. En el fondo, el SIM swapping es parte de una estafa mayor que acarrea el robo de otros datos e información personales, como explica Carlos Vico, teniente del grupo de delitos tecnológicos de la Guardia Civil, en declaraciones a El País.
¿Cómo funciona este ciberataque? Por medio de phishing, la dark web u otros métodos como llamadas fraudulentas, el estafador consigue la información personal suficiente para hacerse pasar por nosotros, engañar a nuestra compañía telefónica y solicitar un duplicado de nuestra tarjeta SIM, alegando su pérdida, robo o rotura. En ocasiones, el duplicado se obtiene incluso por sobornos a empleados de la operadora o por una mala utilización de la red. Una vez conseguido el duplicado, la tarjeta SIM auténtica de la víctima se desactiva; el estafador, por su parte, instala la copia en un dispositivo bajo su control y «comienza el show». Con la SIM disponible, el estafador recibe y burla todos los SMS de verificación y confirmación que se envían al número suplantado. Y así, con ellos, y junto a la información personal obtenida, puede cambiar las contraseñas de nuestros perfiles digitales, crear y autentificar otros nuevos, autorizar compras online a nuestro nombre o ejecutar transacciones bancarias con nuestras cuentas.
Allison Nixon, experta estadounidense en ciberseguridad, ha explicado a muchos medios de su país que el problema está en el uso confiado del número de teléfono como autenticador de identidad. Los SMS y las llamadas automatizadas de confirmación ofrecen una verificación muy práctica, sencilla e inmediata, generando una experiencia de usuario muy beneficiosa tanto para clientes como para empresas. Sin embargo, el SIM swapping ha demostrado que se trata de un «talón de Aquiles» para los procesos de autenticación en dos pasos (2FA), como ya lo avisaba desde 2015 el experto en seguridad tecnológica Bruce Schneier.
La actriz Jessica Alba u otras personalidades de Internet como Shane Dawson o Amanda Cerny han sido víctimas del SIM swapping. Jack Dorsey, CEO de Twitter, también ha sufrido de este ciberataque. En estos casos, los piratas accedieron a comunicaciones privadas o publicaron mensajes ofensivos en sus redes sociales. Sin embargo, cualquier persona no conocida también puede sufrirlo, y con consecuencias muy diferentes. Es el caso de Otto Más, un filólogo burgalés a quien le extrajeron 1.300 euros de una cuenta en septiembre de 2019. O a Gregg Bennett, un empresario estadounidense que en abril de 2019 perdió 100 bitcoins por un valor de medio millón de dólares.
Muchos expertos señalan que el SIM swapping es una estrategia muy organizada y difícil de desmantelar, especialmente por esa ingeniería social que saben manejar los estafadores. Para los ciudadanos, la solución pasa por protegernos con determinados hábitos, como no aportar información personal en llamadas imprevistas y sospechosas, aunque parezcan saber de nosotros o digan proceder de nuestros entornos más cercanos. La señal más clara de sufrir el SIM swapping es una inexplicable pérdida de señal y cobertura en nuestro móvil; en ese momento, el estafador ya podría haber duplicado tu tarjeta SIM.
Sin embargo, las empresas y organizaciones, también responsables de la ciberseguridad de sus clientes y usuarios, tienen que optar por las herramientas y servicios más cualificados para verificar la identidad con precisión, a medida que muchos de sus productos, servicios, procesos y comunicaciones, como solicitar una nueva SIM, se pasan a la web y los smartphones. Para prevenir y detectar los fraudes por medio de SIM swapping, las empresas deben fortalecer sus políticas Know Your Costumer (KYC). Se trata de que las organizaciones recojan todo tipo de información sobre el cliente en su proceso de onboarding (proceso de alta en el que el usuario es bienvenido por la organización). Estos registros permiten conocer con profundidad al nuevo cliente, pudiendo después consultar con él toda esa información como método de verificación. No solo eso; también se trata de crear un perfil y seguimiento de su comportamiento mientras opera con la compañía. De este modo, en el momento en el que un estafador proporciona un dato que no coincide con los registros, o solicita una transacción digital que resulta inusual en el titular, la empresa bloqueará los servicios del cliente para impedir posibles fraudes.
Es entonces cuando las compañías pueden interponer controles de seguridad más agudos que la verificación por SMS, con el fin de recuperar la confianza en el cliente y en su demanda digital. Las opciones más empleadas en la actualidad son el reconocimiento biométrico de la huella dactilar o facial, o las confirmaciones a través de certificados digitales únicos que solo pueden instalarse en un dispositivo y que, por tanto, solo puede poseer el cliente verdadero en su Smartphone u ordenador.
Para casos en los que sea necesario un nivel de seguridad alto o muy alto en la transacción, las empresas pueden optar por la «vídeo identificación», actualmente el método de verificación de identidad más robusto que existe.
En efecto, la «vídeo identificación» (o videoID® para abreviar) es el jaque mate perfecto contra el SIM swapping, e igualmente servible tanto para la expedición de duplicados de tarjetas SIM como para la verificación de operaciones de contratación de estas online con las Teleoperadoras o «Telecos». Por medio de una videollamada, esta solución logra recrear la verificación «cara a cara» y presencial de siempre. Resulta incluso más fiable que el método tradicional y en apenas tres minutos, la «vídeo identificación» aplica de manera simultánea e inmediata diversos controles de seguridad, tanto tecnológicos como humanos, lo que permite detectar la suplantación de identidad al momento y lograr una verificación virtual más fidedigna que en una situación física o presencial.
En primer lugar, se trata de una videollamada que graba y registra del usuario su voz, su rostro, su comportamiento en directo, alguno de sus documentos oficiales de identidad, el lugar donde se sitúa durante la videollamada y la hora exacta de la misma; demasiadas evidencias que disuaden a los estafadores. Además, los algoritmos contra los deep fake o vídeos falsos alertarán a la compañía de las videollamadas «premontadas» o manipuladas. Seguidamente, la videoID resuelve los fallos que pueden surgir por el error humano o por la incompetencia de aquellos empleados que realmente no saben autentificar un DNI. En la «vídeo identificación», el documento de identidad mostrado a cámara será doblemente analizado para reasegurar su validez: por medio de un escaneo con inteligencia artificial (IA) y por la propia supervisión de un «vídeo agente» cualificado en fraude de identidad y formado con técnicas policiales. El mismo análisis se realizará cuando se compare el retrato del documento con el rostro del usuario que se aprecia en pantalla: un análisis biométrico inteligente y el propio «videoagente» examinarán que las imágenes coinciden y que la persona acreditada por el documento es la misma que la que aparece en la videollamada. Sin necesidad de encontrarse en oficinas o sucursales y sin perder el criterio humano, la compañía verifica sólidamente al cliente y activa la transacción con todas las garantías y evidencias registradas.
Otra solución adicional reside en crear convenios entre las operadoras de red móvil y los proveedores de los servicios electrónicos de confianza (TSP, por sus siglas en inglés) que hacen seguras las transacciones relacionadas con la SIM. Poniendo en común datos del cliente, de su comportamiento y del dispositivo donde custodia su SIM, cualquier verificación obtiene la suficiente «inteligencia» y sofisticación como para corroborar que el usuario es quien dice ser. Por ende, si se solicita el duplicado de la SIM en una tienda muy alejada del domicilio del titular, o si surgen saltos muy repentinos en la geolocalización de la tarjeta SIM, entonces las empresas pueden encontrarse ante un posible fraude.
El «kit» de la cuestión está en crear identidades electrónicas sólidas cuya verificación no dependa de un SMS, sino de diversos controles sistemáticos de última generación que combinen fiabilidad y usabilidad. Actualmente, la tecnología y soluciones digitales de los TSP– Trusted Service Providers o Proveedores de Servicios de Confianza como Branddocs son la alternativa más puntera para acabar con el fraude, integrar la «video-identificación» en las empresas y garantizar una vida digital con total transparencia, confianza y comodidad.
Fuentes:
- Informe Digital 2021
- Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse. INCIBE. 05/09/2019
- El timo de la SIM duplicada: si su teléfono hace cosas raras, revise la cuenta bancaria. El País. 03/06/2019
- Alerta por una nueva estafa: si tu móvil se queda sin cobertura, podrían haber duplicado tu tarjeta SIM para robar tus datos. La Sexta. 03/06/2019
- Perfil en LinkedIn de la experta estadounidense en ciberseguridad Allison Nixon.
- ‘SIM-Swap’ Scams Expose Risks Of Using Phones For Secondary I.D. NPR. 25/10/2019
- SS7 Phone-Switch Flaw Enabled Surveillance. Schneier on Security blog. 21/08/2015
- Perfil de Twitter del experto en seguridad tecnológica Bruce Schneier.
- Preventing SIM swap fraud — how GlobalGateway MobileID checks can protect customers. Trulioo. 22/12/2020
- Hackers Hit Twitter C.E.O. Jack Dorsey in a ‘SIM Swap.’ You’re at Risk, Too. The New York Times. 05/09/2019
- Qué es y qué puedes hacer para evitar el ‘SIM swapping’, el ciberataque que causa estragos y que permite vaciar cuentas bancarias. Xataka. 04/10/2020
- Hilo de Twitter de Otto Más sobre su ataque de SIM swapping.
- «Duplicaron mi SIM y me robaron 1.300€»: el fraude del ‘SIM swapping’ vuelve a España. El Confidencial. 10/09/2019
- Tarjetas SIM y redes sociales en mira de ‘hackers’ en Latinoamérica para 2020. Diario Libre. 19/11/2019
- Vídeo de demostración de un fraude telefónico por INCIBE.
- FAQs sobre los servicios electrónicos de confianza por el Ministerio de Asuntos Económicos y Transformación Digital.
- Texto jurídico del Congreso de los Estados Unidos de América sobre la Improving Digital Identity Act of 2020.
- Warning about SIM swapping and how you could become a victim. ABC News.