Seguridad de SMS y SIM: cómo funcionan los ataques de intercambio de SIM

En enero de 2024, la cuenta oficial X (Twitter) de la SEC fue secuestrada. Una publicación falsa sobre la aprobación del ETF de Bitcoin movió los mercados en miles de millones de dólares. ¿El vector de ataque? Un SIM swap: el atacante convenció a un operador para que transfiriera el número de teléfono de la SEC a su tarjeta SIM y luego lo usó para restablecer la contraseña de la cuenta.

Su número de teléfono no es solo una forma de comunicarnos con usted. Es una llave maestra para su correo electrónico, cuentas bancarias, billeteras criptográficas y redes sociales. Y es sorprendentemente fácil de robar.

Cómo funcionan los ataques de intercambio de SIM

Un ataque de intercambio de SIM es una forma de robo de identidad en la que un atacante se apodera de su número de teléfono. Aquí está el proceso:

Paso 1: Recopilar información personal

El atacante recopila sus datos personales (nombre, dirección, fecha de nacimiento, últimos cuatro dígitos de su SSN) de violaciones de datos, redes sociales o sitios de intermediarios de datos. Esta información suele ser suficiente para superar las preguntas de seguridad del operador.

Paso 2: Comuníquese con el transportista

El atacante llama a su operador de telefonía móvil (o visita una tienda) y se hace pasar por usted. Afirman que perdieron su teléfono o necesitan una nueva tarjeta SIM. Utilizando la información personal recopilada, pasan la verificación de identidad.

Paso 3: Toma el control del número

El operador transfiere su número a la tarjeta SIM del atacante. Al instante, pierdes el servicio. El atacante ahora recibe todas sus llamadas y mensajes de texto, incluidos códigos de verificación SMS.

Desde aquí, el atacante restablece las contraseñas de sus cuentas de correo electrónico, bancarias y criptográficas mediante la recuperación de contraseñas basada en SMS. Todo el proceso lleva menos de 30 minutos.

Métodos de interceptación de SMS

El intercambio de SIM no es la única forma de comprometer los SMS. Los atacantes tienen múltiples herramientas:

Explotación del protocolo SS7

SS7 (Sistema de señalización 7) es el protocolo que conecta las redes telefónicas a nivel mundial. Fue diseñado en 1975 con seguridad cero. Los atacantes que obtienen acceso a la red SS7 (a menudo a través de empleados de telecomunicaciones corruptos o comprando acceso) pueden:

• Interceptar mensajes SMS en tiempo real
• Rastrear ubicaciones de teléfonos a nivel mundial
• Redireccionar llamadas a diferentes números

En 2017, los delincuentes utilizaron ataques SS7 para vaciar cuentas bancarias alemanas interceptando códigos SMS 2FA. Esto no es teórico: está sucediendo a escala.

Malware en su teléfono

El malware móvil puede leer los mensajes SMS entrantes directamente desde su teléfono. Algunas variantes:

• Solicitar permisos de SMS durante la instalación
• Superponer pantallas falsas en aplicaciones bancarias
• Reenviar mensajes silenciosamente al atacante

Estaciones base falsas (captadores IMSI)

Dispositivos como Stingrays se hacen pasar por torres de telefonía móvil, lo que obliga a los teléfonos cercanos a conectarse. Una vez conectado, el atacante puede interceptar llamadas y mensajes SMS. Estos dispositivos cuestan tan solo $1000 y se pueden construir con software de código abierto.

Por qué SMS 2FA no es lo suficientemente seguro

Muchos servicios todavía utilizan SMS de forma predeterminada para la autenticación de dos factores. He aquí por qué esto es peligroso:

• SMS no está cifrado: los mensajes viajan en texto plano a través de la red del operador
• Los intercambios de SIM son fáciles — los operadores han sido demandados por negligencia en ataques de intercambio
• SS7 está roto y no se puede arreglar sin reemplazar toda la infraestructura telefónica global
• Los códigos de recuperación van a SMS; incluso si usa una aplicación de autenticación, la recuperación de la cuenta a menudo recurre a SMS

NIST (el Instituto Nacional de Estándares y Tecnología de EE. UU.) ha recomendado contra la autenticación basada en SMS desde 2016. Sin embargo, la mayoría de los bancos todavía ofrecen solo SMS.

¿La alternativa? Aplicaciones de autenticación (Google Authenticator, Authy) o claves de seguridad de hardware (YubiKey). Lea nuestra guía 2FA completa para obtener instrucciones de configuración.

Casos de intercambio de SIM del mundo real

SEC Hack de Twitter (2024)

La cuenta X de la Comisión de Bolsa y Valores de EE. UU. fue secuestrada mediante un intercambio de SIM. Se publicó una publicación falsa sobre la aprobación de un ETF de Bitcoin, lo que provocó una volatilidad masiva en el mercado.

Robo de criptomonedas de 400 millones de dólares (2023)

Un ataque coordinado de intercambio de SIM tuvo como objetivo a inversores en criptomonedas, agotando las billeteras protegidas por SMS 2FA. El FBI arrestó la red, pero la mayoría de los fondos no fueron recuperados.

Twitter de Jack Dorsey (2019)

Al propio director ejecutivo de Twitter le secuestraron la cuenta mediante un intercambio de SIM. Si el director ejecutivo de una empresa de tecnología no está seguro, nadie lo está.

Cómo protegerse

1. Establezca un PIN en su cuenta de operador

Llame a su proveedor y establezca un PIN o contraseña que debe proporcionarse para cualquier cambio en la cuenta. Este es el paso más importante:

• T-Mobile: PIN de cuenta en configuración
• AT&T: Código de acceso de seguridad adicional
• Verizon: PIN de cuenta
• La mayoría de los operadores: Llame al servicio de atención al cliente para solicitar un PIN de seguridad

2. Cambiar a aplicaciones de autenticación

Reemplace SMS 2FA con una aplicación de autenticación siempre que sea posible. Los códigos se generan en su dispositivo y nunca viajan a través de la red.

Aplicaciones recomendadas: Google Authenticator, Authy (tiene copia de seguridad en la nube), Microsoft Authenticator. Para máxima seguridad, utilice una llave de hardware YubiKey.

3. Habilitar bloqueo de números/congelación de puertos

La mayoría de los operadores ofrecen una función que evita que su número sea transferido sin una verificación en persona con una identificación gubernamental. Habilítelo ahora.

4. Utilice un número separado para cuentas financieras

Considere utilizar un número de Google Voice o una tarjeta SIM prepaga secundaria exclusivamente para servicios bancarios y financieros. No compartas este número públicamente.

5. Elimina tu número de los perfiles públicos

Tu número de teléfono en las redes sociales facilita la ingeniería social. Elimínelo de los perfiles públicos y opte por no participar en sitios de intermediarios de datos como Whitepages, Spokeo y BeenVerified.

6. Monitorear señales de un intercambio de SIM

Si experimenta alguno de estos, actúe de inmediato:

• Pérdida repentina de señal celular
• Mensajes "SIM no aprovisionada" o "Sin servicio"
• Correos electrónicos inesperados del operador sobre cambios en la cuenta
• No se pueden hacer llamadas ni enviar mensajes de texto

Si esto sucede: llame a su proveedor desde otro teléfono inmediatamente. Luego cambie las contraseñas de su correo electrónico y proteja sus cuentas.

Herramientas relacionadas

• Generador de contraseñas: las contraseñas seguras siguen siendo su mejor defensa cuando falla el SMS
• 2FA Guía — cambiar de SMS a autenticación segura
• Guía de recuperación de correo electrónico — qué hacer cuando las cuentas están comprometidas