articulos utiles

Cómo prevenir y responder a una estafa de intercambio de SIM

Cuando Matthew Miller de ZDNet fue golpeado con un ataque de intercambio de SIM, lo describió como una "historia de terror" que le hizo perder "décadas de datos". Y no está siendo hiperbólico; Más de una semana después, todavía está lidiando con los efectos secundarios, y algunos de los principales jugadores tecnológicos, incluidos Twitter y Google, no garantizan que alguna vez podrá recuperar el acceso a lo que sus atacantes arruinaron.

El intercambio de SIM es un gran problema, especialmente si también participa activamente en la comunidad de criptomonedas, una excelente manera para que un atacante haga que un poco de dinero en efectivo arruine su vida. Afortunadamente, algunos pequeños ajustes a las prácticas de seguridad de su cuenta pueden ayudar a reducir la probabilidad de que este problema irritante arruine su día (o mes).

¿Qué es el intercambio de SIM?

El intercambio de SIM implica que un pirata informático engañe a su proveedor de telefonía celular para que crea que está activando su tarjeta SIM en otro dispositivo. En otras palabras, están robando su número de teléfono y asociándolo con la tarjeta SIM.

Si tiene éxito, este ataque desactivará su dispositivo, y su dispositivo ahora será el destino de todos los mensajes de texto, llamadas telefónicas, datos y cuentas vinculadas a su número de teléfono y tarjeta SIM. Con esa información, el atacante podría acceder fácilmente a sus cuentas de aplicaciones, datos personales e información financiera. Incluso podrían bloquearlo de sus servicios para siempre.

Piense en cuántas aplicaciones y cuentas usan su número de teléfono para verificar su identidad, y ni siquiera cuando va a iniciar sesión con su nombre de usuario y contraseña, que un atacante no sabrá, sino los mecanismos de recuperación que usaría para restablecer esto. información clave. Toda la seguridad de la cuenta en el mundo no servirá de mucho si un atacante puede fingir que eres tú simplemente tomando tu número de teléfono.

Cómo se ve una estafa de intercambio de SIM

Una persona no necesita acceso físico a su teléfono para realizar un intercambio de SIM; puede hacerlo de forma remota, independientemente de la marca y modelo de su dispositivo, o de su proveedor de servicios. Solo necesitan tener suficiente información para convencer a un agente de atención al cliente de que son usted. Es posible que no vea una estafa de intercambio de SIM en su camino hasta que sea demasiado tarde.

La forma más fácil de saber que has sido blanco de un intercambio de SIM es cuando ves un comportamiento extraño de tu teléfono, como la incapacidad de enviar o recibir mensajes de texto y llamadas a pesar de no tener el servicio apagado; recibir notificaciones de su proveedor de que su número de teléfono o tarjeta SIM se ha activado en otro lugar; o no poder iniciar sesión en ninguna de sus cuentas importantes. Considere este ejemplo reciente de Matthew Miller de ZDNet:

Prevención de un ataque de intercambio de SIM

En este momento, es mucho más fácil establecer defensas contra un ataque de intercambio de SIM que lidiar con las consecuencias de una: una es una molestia menor, la otra consumirá su semana (o más).

Cuidado con las estafas de phishing

El primer paso en un ataque de intercambio de SIM es usualmente (pero no siempre) phishing. Correos electrónicos incompletos con enlaces maliciosos, pantallas de inicio de sesión falsas, barras de direcciones falsas: hay muchas formas que pueden tomar las estafas de phishing, pero son fáciles de detectar si sabe qué buscar. No haga clic en enlaces, descargue programas ni inicie sesión en sitios web que no reconoce. Si un atacante obtiene suficientes datos clave sobre usted de estos ataques, tendrá lo que necesita para intentar un intercambio de SIM.

Reduce el exceso de datos personales en línea

Ya sea además del phishing o en su lugar, la otra parte inicial de un intercambio de SIM involucra la ingeniería social, básicamente recolectando la mayor cantidad de información posible sobre usted para que el hacker pueda pasarlo de manera confiable por teléfono o por correo electrónico.

Para evitar esto, mantenga su número de teléfono, fecha de nacimiento, dirección postal y toda otra información comprometedora en la mayor cantidad posible de sus cuentas, y no comparta esta información públicamente si puede evitarla. Algunos de estos datos son necesarios para ciertos servicios, pero no es necesario que se pueda buscar ninguno en las redes sociales. Debe cancelar y eliminar cualquier cuenta que ya no use como precaución adicional.

Protege tus cuentas

Muchas cuentas digitales tienen configuraciones que pueden ayudarlo a recuperar sus cuentas si alguna vez son robadas, pero deben configurarse correctamente, la cuenta es robada para poder ser de ayuda. Estos pueden incluir:

  • Crear un número PIN que se requiere para los inicios de sesión y los cambios de contraseña. Esto es especialmente importante para configurar con su operador de telefonía celular, ya que es una gran defensa contra el secuestro de SIM.
  • Un método de seguridad adecuado de dos factores que se basa en un dispositivo físico, como Google Authenticator o Authy, en lugar de la verificación basada en SMS para los inicios de sesión. También puede buscar un token de hardware para proteger sus cuentas si desea ser realmente elegante.
  • Strong responde preguntas de recuperación de seguridad que no están vinculadas a su información personal.
  • Desvincular el número de teléfono de su teléfono inteligente de sus cuentas, siempre que sea posible. (Siempre puedes usar un número gratuito de Google Voice si se requiere que tengas uno para tus cuentas confidenciales).
  • Usar contraseñas largas, aleatorias y únicas para cada cuenta.
  • Utiliza un administrador de contraseñas cifradas.
  • No use sus servicios favoritos (Google, Facebook, etc.) para iniciar sesión en otros servicios; todo lo que necesita un atacante es irrumpir en uno para tener acceso a mucho más de su vida digital.

También debe tomar nota de la información importante relacionada con la cuenta que podría usarse para identificarlo como el titular de la cuenta legítimo, como:

  • El mes y año en que creó la cuenta.
  • Nombres de pantalla anteriores en la cuenta
  • Direcciones físicas asociadas a la cuenta.
  • Números de tarjeta de crédito que se han utilizado con las cuentas o extractos bancarios que pueden confirmar que usted fue quien realizó las compras.
  • Contenido creado por las cuentas, como nombres de personajes, si la cuenta es para un videojuego en línea

Del mismo modo, mantener una lista de todas sus cuentas críticas facilitará la reacción a un intercambio de SIM o un robo de identidad similar, ya que podrá revisar de forma segura cada cuenta y cambiar contraseñas, direcciones de correo electrónico, etc. Tenga toda esta información almacenada de forma segura, tal vez incluso como una impresión física de un archivo de texto, en lugar de guardarla en un servicio asociado con una entidad digital (que podría dividirse).

Descentralice su huella en línea

Considere el uso de aplicaciones y servicios encriptados de código abierto en lugar de solo las aplicaciones de Google, Apple, Microsoft, para mantener dispersos los datos importantes, con los datos más confidenciales almacenados en lugares con la más alta seguridad. Esto se aplica al correo electrónico, las aplicaciones de mensajería, las aplicaciones bancarias, etc. Google Drive e iCloud son excelentes, pero si todo se canaliza en una sola unidad, incluida la información financiera personal, etc., está jodido.

Además, debe mantener ciertos datos fuera de la nube por completo. No arroje sus declaraciones de impuestos a su Google Drive, porque si alguien obtuviera acceso, de repente tendría una tonelada de información crítica sobre usted (y mucha información que podría usar para fingir que es usted). Y, por favor, no importa qué, no mantenga una lista de sus contraseñas comunes, claves de inicio de sesión de respaldo, el PDF de "recuperación de cuenta" de su administrador de contraseñas en una simple cuenta de almacenamiento en la nube.

Cómo responder a un ataque de intercambio de SIM

Si sospecha que ha sido víctima de un intercambio de SIM o de cualquier forma de robo de identidad, realice todos estos pasos rápidamente:

  • Presente informes de robo de identidad con la oficina de policía local y la FTC.
  • Alerte a sus bancos / instituciones financieras sobre el posible informe de identidad y solicite retenciones en sus cuentas y tarjetas bancarias, luego comuníquese con las tres agencias de crédito (Experian, Equifax y TransUnion) para solicitar una congelación de su crédito y señalar posibles fraudes crediticios. Si sospecha que su identidad fiscal o sus números de seguro social están comprometidos, comuníquese con el IRS. Es posible que incluso desee cambiar su número de cuenta bancaria o tarjeta de crédito.
  • Informe el robo de identidad a su proveedor de servicios celulares. Sin embargo, tenga en cuenta que a menos que pueda probar suficientemente que esto ha sucedido y que usted es el titular de la cuenta legítima, es posible que no puedan hacer mucho (ya que el hacker es su número de teléfono, y todo).
  • Si tiene una lista fuera de línea / analógica de sus cuentas y su información, cambie la dirección de correo electrónico y la contraseña de cada cuenta (asegúrese de que la nueva dirección de correo electrónico no esté vinculada a su número de teléfono; una nueva funciona mejor) y actualice cualquier otra seguridad de la cuenta medidas. Los lugares más importantes para comenzar son su (s) dirección (es) de correo electrónico e instituciones financieras, incluidos PayPal, Venmo, etc., y cualquier cuenta vinculada a su número de teléfono o cuentas de Google / Apple.
  • Importante: si se le da la opción, NO envíe códigos de confirmación ni restablezca los enlaces a su número de teléfono. Estos serán enviados al hacker, no a ti.
  • Si no puede iniciar sesión en una cuenta o restablecer su contraseña, comuníquese con el servicio al cliente de esa cuenta lo antes posible y explique la situación. Se le pedirá que demuestre su identidad, por lo que tener tanta información sobre la cuenta como sea posible lo ayudará a recuperar el control.