BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Móvil
💭

Intento de SIM swapping SWAPPING a cliente empresa de Simyo

1
Tinkinaz304
11

Hace 1 semana a un amigo le intentaron hacer un duplicado de su línea en formato eSIM en Simyo, en su línea de empresa, del siguiente modo:

  • Recibió un mensaje en su teléfono de contacto de que se habían enviado sus claves de acceso a un e-mail (que no conoce de nada).
  • El estafador, envió a Simyo, únicamente el CIF de la empresa falsificado, ni DNI del administrador, ni escrituras (Simyo lo dio por válido).
  • Simyo le modificó el correo electrónico y el estafador accedió al área de clientes a consultar el código PUK de la línea, ya que Simyo para emitir una nueva eSIM solicita que se le envíe el código ICC-ID actual de la línea o el código PUK.

Obviamente el estafador pudo comprobar el código PUK al acceder al área de clientes, cosa que pudo porque Simyo modificó el correo electrónico de la empresa con tan sólo un CIF falsificado, ni copia del DNI del administrador ni escrituras, cosa bastante curiosa, pues Simyo para contratar una línea solicita estos datos.

Menos mal que se pudo paralizar todo, no se hizo el duplicado por que se llamó rápido y se canceló la orden de cambio de SIM, posteriormente Simyo puso una restricción en la empresa en la que no se pueden hacer movimientos.

Han estado a puntito de robarle la SIM, lo que es conocido como SIM swapping, por lo tanto Simyo no es nada seguro y ya se han denunciado los hechos a la Guardia Civil, cosa que, seguramente ni hagan nada por dar con la persona que ha hecho eso.

Recomiendo a los usuarios que tengan cuidado con Simyo, sobretodo a clientes de empresa en los cuales los datos son públicos y en la mayoría de veces aparecen por la red.

Simyo = D.E.P (no te quiero ni en pintura).

PD: No tengo nada en contra de Simyo ni de ninguna compañía, si veo un fallo o bug de seguridad en algún sitio lo notificaré por el foro para que se haga todo público como siempre hago y ustedes han podido ver.

Simyo, te falta mucho por mejorar, no te pareces en nada a Orange, en la que cualquier cosita que se hace, se envía un SMS OTP. Creo que antes de lanzar la eSIM en Simyo deberían haber tomado en cuenta estas cositas. Ahora ha sido a un amigo, pero próximamente se verán casos en otros clientes como no mejoren los sistemas de seguridad y como sigan dejando que personas latinoamericanas tengan acceso y control de casi toda la compañía.

P B Fierro
3

Me parece bien que se avise de estas cosas.

Winchester
1

Se agradece, si pasa en empresas cuanto más en particulares, andaré con ojo con mi padre que está en Simyo, y lo tendré en cuenta para cuando termine permanencia con MM.

🗨️ 1
Tinkinaz304

Yo creo que un DNI es más complicado de falsificar, aunque lo desconozco. Una empresa al fin y al cabo es pública, su CIF y dirección aparece en Google en páginas tipo infocif y esas mierdas que recopilan datos del registro mercantil. Lo que me parece MUY GRAVE es que Simyo cambie el e-mail asociado a la cuenta de cliente con simplemente el envío de un CIF, me parece bastante grave teniendo en cuenta que para contratar una línea piden el CIF, DNI administrador y escrituras de la empresa.

Es lo que han hecho, validar el cambio de e-mail con simplemente un CIF, y una vez cambiado y teniendo acceso al área de clientes, consultar el código PUK de la línea a duplicar para posteriormente mediante otro e-mail, con ya el e-mail cambiado, solicitar el duplicado de la línea en cuestión.

Menuda mierda de seguridad tiene Simyo, que aprendan de otras compañías que ya han recibido multas por que me dan que éstos van por el mismo camino.

pepejil
1

Simyo, te falta mucho por mejorar, no te pareces en nada a Orange, en la que cualquier cosita que se hace, se envía un SMS OTP. Creo que antes de lanzar la eSIM en Simyo deberían haber tomado en cuenta estas cositas. Ahora ha sido a un amigo, pero próximamente se verán casos en otros clientes como no mejoren los sistemas de seguridad y como sigan dejando que personas latinoamericanas tengan acceso y control de casi toda la compañía.

No te preocupes, porque parece que leen este foro y van corrigiendo sobre la marcha (que también manda narices).

Bocchi94
1

Una empresa está menos protegida que un particular, increible.

Que con el cambio de correo del antiguo al nuevo no se enviase automáticamente por lo menos un SMS al titular y un email a la dirección antigua… Impresionante. Y que el proceso no exija confirmar algún tipo de código recibido por SMS, llamada de un número oficial de Simyo o al correo electrónico antiguo.

Espero que MásOrange arregle este problema, me parece muy grave.

🗨️ 10
Tinkinaz304
1

Te cuento, cuando hicieron el cambio de e-mail, el estafador necesitó resetear las claves de acceso para que le llegara al e-mail que él puso el reseteo de las contraseñas, como en el área de clientes de Simyo aún estaba el teléfono de contacto de la empresa, llegó un e-mail como éste:

"Remitente: +34 121

Atendiendo a tu petición, te hemos enviado un email a para que puedas resetear tu clave de acceso al área privada. Gracias."

Al correo antiguo no llegó nada, si no fuera por ese mensaje que llegó, no se hubiese dado cuenta de nada.

Una vez recuperado el acceso al área privada de la empresa, habían modificado nuevamente el e-mail por otro diferente al que llegó por SMS, también habían modificado el teléfono de contacto y a saber qué más cositas habrán hecho, seguramente descargar facturas de la empresa etc etc. Se había solicitado un duplicado posteriormente por atención al cliente (por teléfono comprueban algunos datos, qué e-mail tienes, etc, cosa que ya tienen por que previamente habían modificado, y todo por culpa de una persona que, sólo con un CIF falsificado, dio por válido el cambio de correo electrónico.

Simyo no tiene ninguna seguridad, algunos operadores han implementado medidas tales como las siguientes:

  • Pepephone: Envío de e-mail con clave de acceso o envío de código OTP a alguno de los números contratados, además exigen que para cualquier gestión, se haga llamada desde el propio número de contacto o de alguna línea contratada.
  • Digi: Envío de clave de acceso OTP por SMS para el acceso al área de clientes, o también envío de e-mail con código de acceso si sólo se tiene fibra contratada.
  • Vodafone: Envío de código de acceso al correo o por SMS a una línea contratada.
  • Orange: No envía claves de acceso al acceder al área de clientes, o no lo sé bien del todo, pero sí que envían un SMS con código OTP en caso de que se quiera modificar algo una vez dentro del área de clientes.
  • Simyo: A pesar de que comparten sistema informático con Orange, no envía ni una mierda a ningún sitio, si alguien consigue el acceso a tu área de clientes, ya sea por que mediante ingeniería consiga que cambien el correo, o bien como éste caso falsifiquen el CIF de una empresa, tienen acceso absoluto al área de clientes, facturas, códigos PUK, etc, y lo que es peor aún y menos mal que lo han quitado, por que al inicio de presentar la eSIM los códigos QR aparecían dentro del área de clientes.

Que vayan aprediendo los de Simyo y se tomen enserio el tema de las documentaciones, estoy totalmente convencido que si el departamento que verifica las documentaciones es de España y tienen un estricto protocolo para cosas tan delicadas como éstas, esto no hubiese ocurrido, al menos con sólo enviar el CIF de una empresa.

En Digi han aprendido la lección parece, a mi padre se le perdió su SIM de Digi hace 2 mese y estuvo 2 días sin línea, parece qu estuvieron verificando bien que la documentación que aportaron desde la tienda era correcta, lo mismo Digo para un cambio de titular que tuve que gestionar hace poco, Digi fue demasiado estricto para gestionarlo, no podía ser menos con casi el millón de € que les han puesto en multas.

🗨️ 9
Bocchi94

Puedo poner un par de ejemplos de trámites que he hecho en Simyo:

  • Cuando se estropeó una SIM que tuve, solo tuve que solicitar otra, recibirla en casa y darla de alta… Todo hecho por la web, sin confirmar nada por correo o teléfono.
  • Cambios de titular, puedo decir que con enviar el documento PDF que te envían tras llamar al SAC relleno y ambos DNI (antiguo y nuevo) lo hicieron. Por lo menos se necesitaba llamar al SAC desde la línea ya que anularon la opción de hacerlo desde la web directamente.

Muy contento por la comodidad pero si lo miramos desde el punto de vista de la seguridad, es peligroso.

Si logras acceder al panel de control y cambiar el email… Puedes convencer a los del SAC para que realicen operaciones que en O2 no podría hacer.

Entiendo la filosofía lowcost pero son grupo MásOrange, los mecanismos de seguridad deberían ser iguales en todo el grupo en lugar de mantener 15 implementaciones de código diferentes.

La forma de trabajar de Pepephone y Digi me parecen las más correctas.

🗨️ 8
Tinkinaz304

Gracias por confirmar tu experiencia. Una SIM de Simyo se entrega por mensajería y sin previa verificación del DNI, al menos en Digi solicitan a la mensajería siempre anotar el DNI de la persona que recoge el envío, y creo que debe ser el del titular, no sirve dar otro por que creo que daría error en la PDA del mensajero.

Simyo tiene mal implementado el mecanismo, no tiene nada que ver ser una Lowcost, detrás hay una gran empresa matriz que la respalda. Y viendo como Orange que comparte sistemas con Simyo, Orange tenga medidas tan estrictas enviando códigos de acceso OTP y Simyo nada de nada. Me huelo a que pronto habrá SIM Swapping en Simyo a algún cliente.

🗨️ 5
Bocchi94
Bocchi94
🗨️ 4
k-lamar
k-lamar
🗨️ 1
k-lamar

A mi con O2 me hicieron un duplicado de eSIM por teléfono y sólo con mandarles una copia del DNI por email, el que llamó pude haber sido yo u otro haciéndose pasar por mi sin ningún problema, esto fue a finales del año pasado, no se si han cambiado los protocolos desde entonces.

🗨️ 1
Jordim98

pregunta seria. Hay algún operador que se pueda estar seguro ante sin swapping?

🗨️ 5
Alexvr

Digi desde las últimas sanciones creo que han mejorado la seguridad (aunque los stand de inmigrantes no se hasta que punto son rigurosos con los protocolos que exigen en Digi).

O2, en principio, solo dejan pedir duplicados a través de tiendas Movistar pero, según la web, también desde el sac (información que un agente de o2 me dijo que no era posible hacer duplicado llamando).

Las marias, en principio, solo en tienda propia.

Lowi, Simyo y cualquiera de MásMóvil no las veo muy seguras con respecto al duplicado de SIM.

🗨️ 1
Tinkinaz304
1

O2 deja pedir duplicado a eSIM por teléfono, yo he pedido varias por que cambiando de un teléfono a otro la he necesitado, lo que pasa es que algunas veces me ha parecido "seguro" el proceso y otras veces "no tanto". A veces me han pedido foto del DNI y selfie, y otras veces con foto del DNI sólo y algunas preguntas como los 4 últimos dígitos de la factura, han procedido a gestionarlo. Estoy seguro que con algo de ingenieria social, conseguirían hacer algo en O2, pero lo tienen algo controlado, avisan del duplicado por e-mail y por SMS a la línea que se duplica. Eso sí, O2 no hace uso de códigos OTP de ningún modo, de momento.

Tinkinaz304

Yo creo que Pepephone es uno de los más seguros, tengo alguna línea ahí y cada vez que he pedido un duplicado a eSIM me han pedido todos los datos del titular, además para hacer la gestión, Pepephone ha enviado un código OTP por e-mail o por SMS, siempre a los datos de contacto que tengan. No es válido llamar desde un número que no esté como contacto en la ficha de clientes. Creo que Pepephone se toma muy enserio la seguridad, cosa que en Simyo parece que no. Pero es que no podía ser de otra forma, el 99% de personas que llevan la empresa en Simyo son del extranjero. Lo vuelvo a decir, Simyo no es seguro, ya veréis que si no se mejora este protocolo pronto veremos alguna sorpresita anunciada en el foro.

🗨️ 2
k-lamar

Si no se puede llamar desde una línea que no esté en la ficha del cliente, ¿como tramitas un cambio de SIM si ésta se avería?

En cuanto a lo de Simyo, me imagino que estarán en ello porque desde hace un tiempo no se pueden pedir duplicados por la web ni activar esos duplicados, sólo por teléfono o en puntos de venta.

🗨️ 1
Tinkinaz304

Sirve la línea que conste como teléfono de contacto, si tampoco la tienes a mano o lo has cambiado, puedes pedir el cambio por el área de clientes y te enviarán un código de verificación al e-mail para que la modifiques por otra que quieras poner.

Jean-Claude

Aprovechando este hilo, comentar que he solicitado recientemente un duplicado de eSIM y quiero apuntar varias cosas.

Se tiene que pedir por teléfono y cuando el agente realiza la petición, llega un SMS al número de contacto indicando que debes enviar un correo electrónico a una dirección que te facilitan con el ICC o PUK y fotos del DNI, y llega un aviso por SMS de la solicitud de duplicado al número implicado y un correo.

Tuve que cursar dos solicitudes ya que, según ellos, al cambiar el número de contacto recientemente, no se pudo emitir el duplicado de eSIM. No sé si es algo automático o del departamento de verificaciones que se olió algo raro. La segunda solicitud ha ido bien y al día siguiente me ha llegado el QR al correo.

Seis días en total se ha tardado en emitir el duplicado de eSIM.

🗨️ 1
Alexvr

Pufff que pereza y lentitud de proceso.

vukits

gracias por el aviso.

lo acabo de incluir en el listado que intento mantener.