Qué es el sim swapping?
Es una modalidad delictiva en donde un atacante por medio de la ingeniería social recolecta información personal de la víctima para luego fingir ser el titular de la línea y requerirle a la compañía móvil un duplicado de la tarjeta SIM. Una vez que el atacante logra hacerse de la tarjeta SIM obtiene el ingreso a los datos sensibles que la víctima tiene en su celular como ingreso a la casilla de mail, homebanking, billeteras virtuales, redes sociales, servicios de mensajería. Cuando el ciberdelincuente coloque en su celular la tarjeta SIM duplicada, es posible que la víctima se quede sin servicio de su compañía de teléfono, señal de que debe comunicarse con urgencia con su operador, e idealmente con las entidades bancarias que opere.
La doble autenticación
El éxito del atacante en estos casos será proporcional a la vulnerabilidad de las contraseñas a la que la víctima esté expuesta, y principalmente a la robustez de la seguridad de la compañía de teléfono. Para reducir las posibilidades de ser víctima de estas maniobras, como usuario podemos implementar la autenticación en dos pasos, requisito ideal en estos tiempos de hiperconectividad. Es decir, en palabras más sencillas…que no sea suficiente un usuario y contraseña para entrar a aplicaciones o descargarlas en otros dispositivos, sino que también se exijan otros métodos más sofisticados para habilitar el ingreso tales como:
– Autenticación biométrica: Utilizar huellas dactilares o reconocimiento facial como segundo paso, además de la contraseña.
– Código SMS: al ingresar la contraseña se recibe un código por mensaje de texto que debe introducirse para acceder a la cuenta.
– Aplicaciones de autenticación: Aplicaciones que generan un código temporal que se debe ingresar después de la contraseña.
– Correo electrónico: La aplicación envía un enlace o código al correo electrónico que se debe usar para completar el ingreso.
– Llaves de seguridad: Dispositivos físicos que se conectan a la computadora o dispositivo móvil para verificar la identidad.
A fin de evitar el tan temido SIM SWAPPING las opciones más seguras parecieran ser la autenticación biométrica y las llaves de seguridad, dado que el código sms y el correo pudieron haber sido violados y tomaríamos conocimiento cuando ya sea demasiado tarde.
La seguridad…que falla cuando falla?
Más allá de los métodos de seguridad que el usuario implemente en su dispositivo móvil, pesa sobre la compañía de teléfono móvil el deber de seguridad y comunicación para con su cliente que, claro está, no puede ser endeble ni fácilmente burlado.
Una cuestión tan sensible como el pedido de un duplicado de la tarjeta sim requiere múltiples verificaciones de identidad como preguntas personales, nro. de trámite del DNI, y demás información que únicamente el titular debería poseer. Pero el ciberdelincuente claramente por medio de la ingeniería social pudo haber tenido acceso a dicha información personal por lo que siempre habrá un riesgo considerable al expedir un duplicado de tarjeta sim. Ahora bien, frente a este panorama la confirmación presencial del titular en la sede de la compañía móvil pareciera ser el único camino seguro.
Ante la vulnerabilidad de los sistemas de seguridad de la compañía de telefonía móvil, el ciberdelincuente se abre paso al acceso del homebanking o billeteras virtuales de la víctima en donde buscará vaciar las cuentas, pedir préstamos, realizar compras, etc. Obsérvese que también entran en juego las vulnerabilidades de los sistemas de seguridad de aquellas entidades bancarias o billeteras que permiten el acceso del atacante sin despertar alerta alguna. Difícilmente la compañía de telefonía móvil y la entidad bancaria o billetera quiera resarcir a la víctima por el delito ocurrido…entonces?
Quién responde ante el daño?
El criterio mayoritario de la jurisprudencia actual en Argentina entiende que el hecho de tener sistemas vulnerables o al menos no lo suficientemente robusto como para evitar este tipo de maniobras, sumado a la falta de comunicación efectiva, rápida y resolutiva por parte de las empresas y/o entidades involucradas, implica la responsabilidad frente al daño de la víctima, y por ende al pago de los daños sufridos.
Seguidamente algunos fundamentos que se observan en las sentencias donde las víctimas reclaman a su compañía de teléfono móvil y su entidad bancaria por daños sufridos como consecuencia de la clonación de tarjeta sim:
“…ese nexo causal obedeció a la inicial omisión incurrida como atribuible a la empresa demandada respecto del deber de seguridad que le era exigible en la protección de los datos personales de la usuaria como prestataria del servicio de telefonía y, acreditado ese incumplimiento, es que objetivamente debe responder frente a los daños causados (cfe.art.1726 CCyC).” (F. E. M. c/T. M. A. S.A. s/ SUMARÍSIMO”, Expte. Nº 165079, del Juzgado de Primera Instancia en lo Civil Nº TRES (Ira. Circunscripción Judicial) Nº 23605)
“…la entidad bancaria debió adoptar las medidas de seguridad necesarias a los fines de evitar que terceros ingresen al homebanking de la misma, máxime cuando dicha modalidad de estafa que roba o secuestra una linea de teléfono, es reconocida por todos los Bancos” “D. M. E. C/ B. D. F. S.A. Y/O Q.R.J.R. S/ MEDIDA AUTOSATISFACTIVA” Fallo Nro.: -20988 de la Cámara civil y comercial de Formosa.
“la responsabilidad es toda de la telefónica, pero el banco ha contribuido con lo suyo, porque no ha cumplido con el deber de seguridad hacia sus clientes, permitiendo que en cuestión de minutos se vacíen cuentas contrariando el comportamiento de las titulares por años. Es decir, que ambas instituciones no cumplieron con el deber de seguridad ínsito en las respectivas contrataciones” T. M. A. S.A. S/QUEJA EN: V. M. C. Y C. M. S. C/B. P. S.A. Y T. M. A. S.A. S/DENUNCIA LEY 24240 (SUMARISIMO)” (Expte N° RO-00251-C-2023) de Secretaría Civil STJ Nº1 de Viedma.
Autor: Cano Pricila N.
En este video el Ministerio Público Fiscal explica ¿Qué es el ataque SIM SWAP?
Si Ud. es víctima de esta maniobra delictiva o tiene sospechas al respecto comuníquese a la brevedad para que un abogado del estudio lo asesore y defienda sus derechos.
