📰 Artículos
Operadoras

Orange informa a los bancos cuándo duplicaste la SIM por última vez

Joshua Llorach 24 noviembre 2020 11:52 ✎

⋮

Los sistemas de Orange mejoran su integración con el estándar Mobile Connect de la GSMA, pensado para autentificar a los usuarios de telefonía móvil en sus transacciones online, al permitir que las entidades financieras puedan saber cuándo se hizo el último duplicado de SIM.

¿Cómo funciona el ataque SIM swapping?

Si has sido víctima de phishing y has seguido las instrucciones fraudulentas del atacante al proporcionarles datos personales, te puedes encontrar con que te quedas repentinamente sin servicio, achacando el problema a tu operadora. Lo que puede estar ocurriendo es que el estafador ha emitido una nueva tarjeta SIM de tu línea haciéndose pasar por ti y la red ya no reconoce la tuya. Con tu línea en sus manos y el resto de datos que facilitaste, ahora puede confirmar operaciones como una transferencia, aunque estas requieran introducir un código enviado por SMS que se supone tu solo ibas a recibir.

A pesar de lo complicado del ataque, este resulta cada vez más habitual y las operadoras están tomando medidas para protegerse. Afortunadamente la GSMA cuenta con un mecanismo para que el proveedor de un servicio online, como tu banco, pueda decidir si autoriza una operación sabiendo entre otras cosas en qué momento se generó la SIM que está utilizando el usuario.

48 horas de cuarentena tras duplicar la SIM

Los servidores del API Mobile Connect de Orange soportarán esta nueva característica anti-SIM swapping llamada Mobile Connect Account Takeover Protection para los clientes propios y los de sus tarifas Amena. Los proveedores de servicios que estén suscritos, podrán comprobar justo antes de autorizar una operación, que no hay riesgo de usurpación de la identidad.

Si has pedido un duplicado de SIM de forma legítima, puedes encontrarte con que no puedes realizar transacciones en tu banco durante unos días. La GSMA recomienda un plazo de 48 h. para que los bancos denieguen operaciones de riesgo tras un duplicado.

En concreto Orange facilitará un timestamp de la fecha y hora en la que se modificó la asociación entre un MSISDN (tu número) con un IMSI (el código de la SIM). Opcionalmente el sistema puede informar sobre:

Si la línea está activa
Si la línea tiene activo el desvío de llamadas incondicional
La fecha en la que la SIM se introdujo en el móvil
Si se ha reportado el robo del terminal

💬 Comentarios

vukits 24 noviembre 2020 12:15

⋮

Me alegro de que haya gente con dos dedos de frente.

Es una iniciativa magnifica, que va a ahorrar pérdidas a muchos clientes de Orange.

BocaDePez 24 noviembre 2020 13:10

⋮

Los proveedores de servicios que estén suscritos

Menciona bancos, ¿pero qué otros proveedores pueden suscribirse?

Mobile Connect es un estandar, pero esta modificación ¿es parte del estandar o algo que Orange ha implementado solo para ellos? ¿otras telecos se podrían suscribir?¿hay royalties?

✖

Josh 24 noviembre 2020 13:20

⋮

Está diseñado para ser un producto más que puedan vender las operadoras, en este caso a financieras. Tienes más información en gsma.com/identity/wp-content/uploads/201…ey-final.pdf

Es un estándar de la GSMA.

Magonos 24 noviembre 2020 14:19

⋮

Es muy buena idea, Orange y Movistar llevan mucho tiempo haciendo uso ya de mobile connect, creo que telefónica tb tiene acuerdos con bancos para esto mismo.

Es de agradecer estas sinergias entre bancos y telecos.

Un saludo,

naveganteperdido 25 noviembre 2020 10:59

⋮

y no seria mucho mas sencillo no entregar una SIM nueva sin identificar que la persona que lo recibe es el titular?, vamos ir a tienda y enseñar dni o usando certificados digitales o enviando a la misma direccion que durante la contratacion si esta no ha cambiado, hay muchas maneras, esque aparte a mi me parece que es obligacion de la operadora no entregar una SIM sin cerciorarse a quien lo hace

✖

auka 25 noviembre 2020 23:35

⋮

Creo que la idea es evitar duplicados fraudulentos, que te puedan hacer más allá del circuíto comercial habitual.

BocaDePez 18 marzo 2021 23:02

⋮

Pero vamos a ver, es obvio que no dan duplicados al primero que aparece por ahí…

"Hola, me llamo Pedro Sánchez, mi DNI es {número obtenible por internet} y quiero un duplicado de mi línea"

El problema es cuando un "profesional" del crimen intenta hacer esta estafa… imagina una persona que vaya con un DNI falso muy bien hecho (no tan irreal como pueda parecer), empleados con permiso para hacer duplicados y que podrían hacer lo que no deben (y eso da igual que sea en tienda, por teléfono o…), en definitiva, cualquier brecha posible en el proceso de solicitud de un duplicado.

Brechas siempre puede haber, más o menos elaboradas. Mismamente, en lo que propones de enviar la SIM a la dirección informada, no solo es una molestia gigante para muchos usuarios (si necesito un duplicado es que no tengo línea, por trabajo u otras razones no voy a aceptar estar 24-48 horas sin línea) sino que encima pueden ocurrir estafas igual: la SIM puede acabar en malas manos y la activación, si es telemática, puede no dar un 100% de seguridad precisamente (depende cómo se haga)

Lo más sencillo es lo que propone Orange y creo que hace Movistar: no puedo poner puertas al campo, pero puedo avisar a los bancos de cambios de SIM que detecto para que lo tengan en cuenta. Ese "aviso" un estafador no podrá evitarlo, dado que en él no intervendrá un humano (y en el cambio de SIM sí).

PD: Josh, si lees esto, gracias por mejorar la escritura de mensajes desde móviles, porque hace unos meses iba fatal, hast el punto de que se bloqueaba la escritura (página y teclado) tanto en iPhone como Android, durante unos segundos cada poco, horrible (y solo me ha pasado aquí). Pero aún así, parece que sigue sin ir demasiado fino a veces. Una "crítica" constructiva. :-D