📰 Artículos
Operadoras

Llega el SIM swapping de segunda generación con el desvío de SMS. Orange se estrena con una multa.

Joshua Llorach 10 junio 2023 17:22

⋮

Orange ha aceptado el pago voluntario de una multa de 42.000 € por permitir un desvío de llamadas solicitado fraudulentamente por un tercero que se hizo pasar por uno de sus clientes. La AEPD se refiere a esta técnica como la evolución del SIM swapping.

Los ciberdelincuentes siguen buscando nuevos métodos para saltarse las verificaciones de seguridad de doble factor que requieren tener acceso a la línea de la víctima para poder aprobar operaciones como transferencias desde su cuenta bancaria. Con los datos personales del usuario en su poder, obtenidos gracias a las frecuentes fugas de información que sufren todo tipo de empresas y entidades oficiales en ataques de ransomware como el que sufrió recientemente Euskaltel, a los atacantes les resulta relativamente sencillo usurpar la identidad de la víctima para solicitar una copia de su tarjeta SIM, técnica conocida como SIM swapping Las operadoras han reforzado sus controles para limitar en lo posible este fraude después de las numerosas sanciones impuestas por las autoridades de protección de datos, así que los criminales buscan alternativas para obtener acceso a las comunicaciones del usuario.

Desvío de SMS como "SIM swapping" de segunda generación

La AEPD (Agencia Española de Protección de Datos) habla de SIM swapping de segunda generación en un expediente abierto a Orange por la denuncia de uno de sus clientes que se encontró con retiradas de dinero de sus cuentas bancarias que habían sido autorizadas tras activar un desvío de llamadas en su línea que él no había solicitado.

Para activar el desvío, el servicio de atención al cliente de Orange requiere superar un control de seguridad que consiste en pedir al que llama varios datos de su contrato. Según la Política de Seguridad, deben variar en cada llamada los datos que se piden, como dígitos del DNI, de las líneas telefónicas, importe de las facturas, número de contrato o dígitos de la cuenta bancaria.

En el caso denunciado la persona que llamó asegurando ser el titular de la línea y tras aportar nombre, apellidos, DNI, fecha de nacimiento, dirección y código postal, solicitó un desvío de llamadas de la línea hacia un tercer número, alegando que su SIM había sufrido desperfectos y que estaba teniendo problemas para recibir SMS.

Un desvío de llamadas no implica directamente el desvío de los mensajes SMS destinados al mismo número, que deben activarse de forma adicional, razón por la que los delincuentes especificaron que este era su problema.

La AEPD entiende que la verificación que Orange realizó no es suficiente para comprobar la identidad del cliente por lo que le impone una sanción de 70.000 € que Orange ha decidido pagar voluntariamente para reducir la cantidad a 42.000.

aepd.es/es/documento/ps-00052-2023.pdf

💬 Comentarios

lhacc 10 junio 2023 17:41

⋮

No sabía que existiera un servicio de desvío de SMS.

La única solución que hay es que el sistema exija introducir los datos de los controles de seguridad para poder realizar la gestión. Pedir al teleoperador que haga los controles voluntariamente los hace vulnerables a la ingeniería social.

✖

jpl678 11 junio 2023 00:54

⋮

La solución es que "si te falla la SIM" te aguantes y pidas una nueva que recogerás en tienda. Nada de activar desvios remotamente.

Y por supuesto, de la empresa que use únicamente el SMS para verificarte.

PezDeRedes 10 junio 2023 17:46

⋮

A mi hay cosas que no me cuadran:

1 - ¿Por qué se sigue usando el arcaico sistema de SMS y no una verificación en dos pasos en condiciones, con TOTP o similar, como Google Authenticator, Authy, etc.?

2 - Antes de recibir el SMS, tienes que acceder a tu banca online y solicitar la operación. ¿Nadie se ha preguntado cómo accedieron los delincuentes a la banca del usuario?

✖

Cosmonauta 10 junio 2023 17:53

⋮

Previamente han conseguido mediante phishing las credenciales de acceso.

Es importante utilizar 2FA, SMS+clave de firma, etc, no solo SMS.

Y esta peña no son hackers, son delincuentes. El hacking es otra cosa.

✖

PezDeRedes 10 junio 2023 22:12

⋮

Estaría bien entender cómo sigue la gente cayendo en phising…

Y esta peña no son hackers, son delincuentes. El hacking es otra cosa

Estoy de acuerdo… pero no entiendo la corrección, he usado la palabra "delincuentes".

✖

Cosmonauta 10 junio 2023 23:17

⋮

Tranqui, no iba por ti compi, lo decía en general y como lo percibe la gente.

Jeronimo17 10 junio 2023 18:50

⋮

Por que así puedo usar un teléfono básico libre de aplicaciones

✖

PezDeRedes 10 junio 2023 22:10

⋮

No me sirve. Las cosas se tienen que hacer de forma segura, y si no quieres, no uses banca online.

✖

Jeronimo17 10 junio 2023 22:13

⋮

Por mi, solo usaría la web del banco sin tener que confirmar por el móvil (cosa de la UE), las tarjetas de coordenada no me molestaba demasiado

✖

PezDeRedes 10 junio 2023 22:15

⋮

Si no hay seguridad, nos quejamos. Y, si la hay, nos quejamos.

✖

Jeronimo17 10 junio 2023 22:17

⋮

esj 10 junio 2023 21:26

⋮

Algunos bancos, mientras tengas el teléfono ya controlado (la línea) te permiten restaurar el login con un SMS por lo tanto, no necesitan los estafadores hacerte picar en nada de phishing.

✖

PezDeRedes 10 junio 2023 22:10

⋮

Vaya desastre.

lhacc 10 junio 2023 21:57

⋮

Porque todos tenemos un móvil y es fácil recibir y leer un SMS.
Phishing, credential stuffing…

✖

PezDeRedes 10 junio 2023 22:12

⋮

Porque todos tenemos un móvil y es fácil recibir y leer un SMS.

No me sirve. Las cosas se tienen que hacer de forma segura, y…

✖

lhacc 10 junio 2023 22:59

⋮

La comodidad siempre ganará frente a la seguridad.

✖

PezDeRedes 10 junio 2023 23:28

⋮

Pues entonces luego no lloremos cuando pasen cosas.

Minoco 11 junio 2023 09:57

⋮

Yo creo que se siguen usando SMSs porque los sistemas que mencionas son complejos para el usuario medio, por ejemplo las medidas a tomar en el caso de que se te pierda o te roben el móvil donde tienes el authenticator.

vukits 11 junio 2023 09:57 ✎

⋮

Así estamos los clientes de BBVA, rezando cada día para que no nos pase nada :P (pero la App es una maravilla ^_^ )

Eso sí, por lo menos tienen una especie de SOC que vigila un poquitin ( a mi me ha llegado a bloquear operaciones desde el extranjero, por no haberles avisado que me voy de viaje).

✖

Castillos 11 junio 2023 11:08

⋮

El BBVA permite autenticación FIDO a través de su APP, que se utiliza activando firma con biometría. Lamentablemente esto no desactiva la doble verificación con SMS, que nos seguirán enviando, por ejemplo, si realizamos una operación a través de la página web. Y que por tanto, un delincuente puede seguir utilizando.

La autenticación FIDO / U2F, es la que también se utiliza con las llaves de seguridad de Google Titan o las Yubikey, y que tienen un nivel de seguridad mayor a la doble verificación con aplicaciones basadas en TOTP, ya que funciona con criptografía asimétrica y protocolo de desafío-respuesta, dando protección incluso contra ataques de phishing y vishing (no funcionaría que un delincuente nos llamase por teléfono haciéndose pasar por el banco, para darles el token SMS o TOTP).

Sería un sueño que BBVA permitiera el uso de llaves de seguridad FIDO / U2F y FIDO2 / WebAuthn para poder desactivar completamente los SMS. Ya sea utilizando la propia APP como llave de seguridad, o incluso permitiendo utilizar llaves de seguridad adicionales como las Yubikey, por si perdemos, nos roban, o se nos estropea el móvil. O incluso poder operar por la web sin necesidad de tener el móvil delante.

Curro1 10 junio 2023 19:45

⋮

En Jazztel me ocurrió algo parecido hace unos meses: alguien me solicitó un desvío total de mi línea hacia otro número, y no me llegaban ni los SMS de llamadas perdidas 😂 Como podía hacer llamadas, pensaba que la línea estaba bien: ese es el problema, que te crees que todo va bien.

Pero en mi caso sospecho que fue por error de Oranzztel, no intencionado (o eso espero, ya que dudo que tuvieran mis datos para pasar la política de seguridad en el servicio técnico, y por suerte no me ocurrió nada, por lo que sospecho que fue simplemente un error, y estuve varios días sin darme cuenta del desvío, hasta que me dijeron que salía otra persona durante días 😅)

Desde el área de clientes aparecía el nº hacia el que estaba hecho el desvío total, y se podía desactivar.

✖

EmuAGR 11 junio 2023 00:08

⋮

En mi caso solo ha hecho falta el DNI y un código por SMS para pedir una eSIM. (eSIM que no ha funcionado en mi Sony Xperia 1 IV).

Mick Diaz 10 junio 2023 20:48

⋮

Es decir: es un ataque muy selectivo y complejo porque previamente tienen que saber quién eres, qué quieren, y cómo te van a atacar.

Esta es una prueba más de que la ingeniería social gana por goleada a muchas barreras de seguridad.

✖

PezDeRedes 10 junio 2023 22:14

⋮

EmuAGR 11 junio 2023 00:12

⋮

Es fácil hacerse pasar por tu operadora en WA y pedirte el código que mandan por SMS diciendo que te van a aplicar una oferta. Mientras el delincuente se está haciendo pasar por ti ante la operadora con una base de datos robada.

kafeolé 11 junio 2023 00:54

⋮

¿Pero los problemas de SIM swapping eran de Digi, no?

✖

vukits 11 junio 2023 10:00

⋮

Estamos recogiendo aqui lo que me van informando

Todos los operadores tienen cagadas.

Lo importante es tener informados a los clientes de las vulnerabilidades del servicio, para que elijan bien

Jezu7 12 junio 2023 11:47

⋮

A todo esto, como dice mi hermano, si no tienes ordenador , fibra o móvil con internet nada de nada, como si fuera obligatorio recibir SMS o tener móvil. Si uno con un fijo se apaña, por qué todo digital y más gastos??

Yo no opino lo mismo, pero habrá gente que sí y también tienen su parte de razón