En tanto que en México, en el sector de las telecomunicaciones se ha reportado un aumento de la portabilidad numérica no consentida, empresas de seguridad cibernética advirtieron un incremento en el robo de identidad por la vía del proceso de portación o cambio de proveedor de servicios.
La empresa de seguridad S21sec advirtió que en los últimos meses se ha observado una tendencia creciente en el fraude denominado SIM SWAP.
Explicó que este tipo de estafa consiste en el robo de una cuenta a través de la utilización del doble factor de autenticación y la verificación en dos pasos.
Normalmente, el segundo factor de autenticación es una llamada o un mensaje de texto enviado a un teléfono móvil.
El SIM SWAP se basa en la capacidad de las compañías telefónicas de portabilizar un número de teléfono a una SIM nueva.
Aseguró que en fechas recientes se ha advertido un aumento de este fraude, a través del cual los atacantes no sólo buscan obtener credenciales, sino que también tienen como objetivo adueñarse de las contraseñas de un solo uso u OTP (del inglés One-Time Password) enviadas vía SMS por parte de los bancos, teniendo así la capacidad de provocar daño financiero.
En tal sentido, Radames Camargo, de acuerdo con los Informes Estadísticos Soy Usuario, elaborados por el Instituto Federal de Telecomunicaciones (IFT), en el último año ha aumentado notoriamente la proporción de inconformidades relativas al proceso de portabilidad, al pasar de 11.8% del total en el primer trimestre de 2018 a 22.5% durante el mismo periodo de 2019.
Comentó que en la mayoría de esas quejas se refieren a casos de procesos de portabilidad numérica no consentida en el segmento móvil, en donde el 52.7% del total de inconformidades realizas son a trámites de portabilidad.
Sin embargo, consideró que las autoridades deben estar alertas a la posibilidad de que la portabilidad numérica no consentida este siendo utilizada para la comisión de fraudes, por lo que será necesario que el IFT ponga candados al NIP que se proporciona para realizar una portación.
En este sentido, Javier Juárez Mojica, integrantes del Pleno del IFT, comentó que el regulador ya ha realizado una consulta pública al respecto, en el que se analizan los mecanismos para cambiar el mensaje de texto que llega al usuario para conformar que ha solicitado un cambio de proveedor de servicios.
Destacó que se analizan los datos recabados para realizar modificaciones a las reglas de portabilidad.
Explicó que el proceso normal, cuando una persona quiere cambiar de proveedor, envía un mensaje al 051, de donde se emite un mensaje de texto con un NIP de cuatro dígitos y luego una llamada normal para confirmar que se trata de una portación autorizada.
En el caso del fraude, personas, que pueden ser vendedores que reciben una comisión, que realizan la solicitud de emisión del NIP para portar un número seleccionado al azar.
El usuario es sorprendido cuando recibe el código, sin haberlo solicitado y, luego, la llamada del vendedor para verificar la petición de cambio.
Cuando el usuario niega que lo solicitó, se le pide el NIP para supuestamente cancelar el proceso, pero en realidad con el número telefónico y el código se cierra el proceso para hacer el cambio.
En tal sentido y en el caso del proceso de robo de identidad, S21sec, explicó que el atacante consigue información necesaria de la víctima a través de la utilización de técnicas como el phishing, ingeniería social, bases de datos adquiridas a grupos organizados o mediante filtraciones de datos.
Una vez que han obtenido los datos, los actores maliciosos contactan con el proveedor de telefonía de la víctima y se hacen pasar por ella para cambiar su número de teléfono a una tarjeta SIM ajena que pertenece a los atacantes.
Tras esto, la víctima pierde la conexión de red en su teléfono móvil, y será el atacante quien reciba los SMS y llamadas dirigidos a la víctima. Esto permite a los actores maliciosos interceptar contraseñas enviadas vía mensaje de texto y, de esta forma, realizar autorizaciones de transacciones por teléfono o a través de las aplicaciones y webs de los bancos.