El SIM swap es un tipo de ataque que, en realidad, es posible desde hace muchos, muchos años; sin embargo, ahora ha empezado a ponerse de moda y generalizarse. Consiste en algo tan sencillo como es conseguir un duplicado de la tarjeta SIM de la víctima, a través del propio operador que presta los servicios de telefonía móvil, para interceptar SMS y así poder saltarse los sistemas de seguridad de autenticación en dos pasos. Se ha utilizado, por ejemplo, para robar centenares de cuentas de Instagram.

Con un ataque SIM swap se podría perjudicar a un usuario generando cargos adicionales consumiendo servicios de telefonía móvil, por ejemplo, pero este tipo de ataque está generalizándose en las últimas semanas para interceptar SMS de verificación en sistemas de autenticación en dos pasos. Como adelantábamos, uno de los casos más preocupantes ha sido el robo de centenares de cuentas de Instagram; porque Facebook podría usar un generador de códigos de único acceso, pero se basa en la autenticación por SMS, para el doble factor.

Así puedes evitar que hagan un ataque ‘SIM swap’ contra ti y tus cuentas en Internet

Los sistemas de seguridad de doble autenticación son vulnerables a estos ataques cuando usan SMS de verificación, y no un generador de códigos únicos por otras vías como, por ejemplo, una app independiente. La clave, en todo esto, está en que lo primero que necesitan es la contraseña de tu red social –o de otros servicios online-. Por lo tanto, el primer paso, y principal, es usar una contraseña alfanumérica larga –cuanto más mejor- y cambiarla frecuentemente, además de no compartirla con otros servicios online.

Por otro lado, también deberíamos revisar la factura del operador. La mayoría aplican un cargo adicional por los duplicados SIM. Y si no es el caso, contactar con el operador lo más rápido posible si detectamos que dejamos de tener línea o determinados servicios, como el acceso a Internet. Esta es una de las medidas que aplican algunos operadores cuando se solicita un duplicado sobre la misma numeración. No obstante, los expertos alertan de que la mejor medida debería venir de parte de Facebook –en el caso de Instagram- y otras compañías, y pasa por no usar los SMS para la autenticación en dos pasos.