El peligro del SIM Swap cuando los operadores no comprueban la identidad de los usuarios

Los peligros del fraude de intercambio de SIM se han resaltado nuevamente después de que un equipo investigación encubierto reveló que los empleados de O2 y Vodafone aparentemente entregaban tarjetas de reemplazo sin realizar los controles de identidad adecuados.

La investigación secreta en forma de grabación mostró que dos empleados de Vodafone no seguían las estrictas políticas de seguridad para verificar la identidad de la persona que solicita la tarjeta SIM de reemplazo en la tienda, de acuerdo con Watchdog Live de la BBC.

Mientras tanto, el personal de O2 no pudo verificar la identificación con una foto, que es la política de seguridad que siguen todas las SIM de contrato. La empresa le dijo al programa que también envía un código de autorización a los clientes de Pay As You Go que los alertan si alguien está tratando de usar su número, pero esto no se recibió durante el transcurso de la grabación.

Los estafadores a veces usan el fraude de intercambio de SIM para gastar grandes sumas de dinero llamando a números de tarificación especial que ellos mismos controlan, pero cada vez más también se pueden usar para interceptar códigos de autenticación de dos factores enviados por los bancos para que los clientes puedan acceder de forma segura a sus cuentas.

Se ha hecho más frecuente no solo si los empleados de la tienda de telecomunicaciones no realizan las comprobaciones adecuadas, sino también gracias al gran volumen de datos de identidad que se pueden encontrar en la Dark Web que los estafadores pueden usar para hacerse pasar por clientes legítimos.

"Desde el punto de vista de una institución financiera, muchos ya han comenzado a hacer el cambio a las notificaciones PUSH móviles, que son inherentemente más seguras que los SMS. Las notificaciones de PUSH tienen el beneficio adicional de poder protegerse con la tecnología de protección de aplicaciones y brindar a los bancos una interfaz más sólida para hacer negocios con sus clientes", explicó Will LaSala, director de soluciones de seguridad de OneSpan.

"Los consumidores deben verificar si su banco ya ofrece una aplicación móvil y luego habilitar la autenticación de dos factores PUSH tan pronto como sea posible mientras deshabilitan la autenticación de dos factores de SMS. "SMS es un buen método para notificar a los usuarios notificaciones de cuenta, como modificaciones de cuenta y transacciones, pero no se debe usar para permitir el acceso privilegiado".

El fraude de intercambio de SIM también puede ser el resultado de cibercriminales que trabajan con pandillas criminales.

En agosto, un empresario estadounidense y inversor de criptomonedas presentaron una demanda de 223 millones de dólares contra AT&T después de que un empleado de la tienda supuestamente facilitó el fraude del intercambio de SIM, permitiendo a los delincuentes transferir millones de su cuenta bancaria.

Fuente: BBC