El 7 de noviembre, el blog de noticias e investigaciones de seguridad KrebsOnSecurity publicó una entrevista con REACT Task Force, un grupo policial con sede en California dedicado a la lucha contra la ciberdelincuencia.

Según el artículo, los miembros de REACT consideran el "SIM swapping" (cambio de SIM) como una de sus "máximas prioridades" en un intento de luchar contra el fraude de criptomonedas. Así es como los estafadores utilizan tarjetas SIM de 99 centavos compradas en eBay para robar millones de criptos con una sola llamada.

"SIM swapping": ¿qué es eso?

El cambio de SIM es el proceso de hacer que un proveedor de telecomunicaciones como, por ejemplo, T-Mobile, transfiera el número de teléfono de la víctima a una tarjeta SIM en poder del atacante - generalmente comprada en eBay y conectada a un teléfono prepago, como dijo Samy Tarazi, sargento de la oficina del Sheriff del Condado de Santa Clara y supervisor de REACT, a KrebsOnSecurity:

"Estamos hablando de niños de entre 19 y 22 años que pueden robar millones de dólares en criptomonedas [....] ahora estamos tratando con alguien que compra una tarjeta SIM de 99 centavos en eBay, la conecta a un teléfono desechable barato, hace una llamada y roba millones de dólares. Eso es bastante notable."

Según la investigación de Motherboard, el intercambio de tarjetas SIM "es relativamente fácil de realizar y se ha generalizado". También sugirió que "cientos de personas en los EE.UU. han tenido su número de teléfono celular secuestrado en esta llamada 'estafa de Port Out'".

De hecho, en California, donde se encuentra el equipo de REACT, el cambio de SIM parece ser una nueva moda entre los criptoestafadores. Tarazi declaró a KrebsonSecurity:

"Es probablemente la mayor prioridad de REACT en este momento, dado que el cambio de SIM está sucediendo activamente a alguien, probablemente mientras hablamos ahora mismo".

Añadió, sin embargo, que "sólo hay unas pocas docenas de personas" responsables de la comisión de esos crímenes:

"Por las cantidades que se roban y el número de personas que tienen éxito al tomarlo, las cifras son probablemente históricas."

Entonces, ¿cómo exactamente tener acceso al número de teléfono de alguien ayuda a robar criptos?

Una vez que los hackers tienen acceso al número de teléfono de la víctima, lo utilizan para restablecer sus contraseñas y entrar en sus cuentas, incluyendo el correo electrónico y las cuentas en los cambios de criptomonedas. En consecuencia, tienen acceso a fondos criptográficos almacenados en carteras calientes.

Las tácticas empleadas por los delincuentes para realizar el cambio de tarjeta SIM pueden variar. Según la placa base, los estafadores a menudo utilizan los llamados "plugs": personas de las compañías de telecomunicaciones a las que se les paga por hacer intercambios ilegales. Un secuestrador anónimo de SIM le dijo a la publicación:

"Todo el mundo los usa [...] Cuando le dices a alguien[que trabaja en una empresa de telecomunicaciones] que puede ganar dinero, lo hace".

Una fuente anónima diferente un proveedor de telecomunicaciones de Verizon, le dijo a Motherboard que se le había contactado a través de Reddit, donde se le ofrecieron sobornos a cambio de intercambios de SIM. Del mismo modo, un gerente de una tienda de T-mobile recibió mensajes de estafadores en Instagram después de publicar una foto de sí mismo y etiquetarla como #T-mobile. Se le dijo que podía ganar hasta $1.000 por semana por transferir los números de teléfono de los clientes en las nuevas tarjetas SIM.

Otro empleado de Verizon afirmó que el hacker, que también lo encontró en Reddit, prometió que ganaría "$100.000 en unos meses" si cooperaba - todo lo que tenía que hacer era "o activar las tarjetas SIM para[el hacker] cuando[estaba] en el trabajo o darle al atacante su] Identificación de empleado y PIN".

De hecho, Caleb Tuttle, un detective de la oficina del Fiscal de Distrito del Condado de Santa Clara, destacó tres escenarios comunes de intercambio de SIM en una entrevista con KrebsOnSecurity:

  1. El atacante soborna o amenaza a un empleado de una tienda móvil para que ayude en el delito;
  2. Los empleados actuales o antiguos de las tiendas móviles abusan intencionadamente de su acceso a los datos de los clientes;
  3. Los empleados de las tiendas móviles engañan a los asociados confiados de otras sucursales para que intercambien la tarjeta SIM existente de la víctima por una nueva.

El intercambio de SIM permite a los ladrones pasar por alto incluso la autenticación de dos factores, especialmente si se trata de una copia de seguridad de SMS, como Wired señala. El comentario del detective Tuttle para KrebsOnSecurity parece confirmar esto: aconseja a la gente que utilice algo más que mensajes de texto para la autenticación de dos factores en sus cuentas de correo electrónico. En concreto, menciona la aplicación Authy para móviles o Google Authenticator como posibles alternativas:

"Digamos que tengo una cuenta en Coinbase y la tengo configurada para requerir una contraseña y un código único generado por Authy, pero mi cuenta de Gmail vinculada a esa cuenta de Coinbase no usa Authy y sólo usa SMS para dos factores. Una vez que cambio de SIM a esa persona, a menudo también puedo utilizar ese acceso para[solicitar un enlace a través de un mensaje de texto] para restablecer su contraseña de Gmail y, a continuación, configurar Authy en la cuenta de Gmail con mi dispositivo. Ahora tengo acceso a tu cuenta en Coinbase y puedo bloquearte las dos."

El Sargento Tarazi también insta al público a reconocer el peligro potencial de la autenticación de dos factores basada en SMS, aunque se ha convertido en una solución de seguridad común para los servicios en línea.

“[...] la mayoría de las personas que no están siguiendo el problema del cambio de tarjeta SIM no tienen idea de que su teléfono y las cuentas asociadas pueden ser tomadas tan fácilmente. [...] En este caso, la víctima no descargó malware ni cayó en un estúpido correo electrónico de phishing. Acaban comprometiéndose porque siguieron los estándares de la industria".

¿Quiénes son los objetivos?

Personas activas en la comunidad de criptomonedas, principalmente: pueden trabajar en startups relacionados con criptomonedas, participar como ponentes en conferencias de cadenas de bloques o discutir sus inversiones en criptomonedas en los medios sociales.

El teniente John Rose de REACT explica que es mucho más fácil y seguro para los intercambiadores de SIM robar criptofondos solamente, incluso si descubren contraseñas para cuentas bancarias tradicionales durante el ataque:

"Es comprensible que muchas de las víctimas del cambio de tarjeta SIM estén muy asustadas por la cantidad de información personal que se ha expuesto cuando se producen estos ataques. Pero[los atacantes] están predominantemente interesados en atacar a las criptomonedas por la facilidad con la que estos fondos pueden ser lavados a través de las bolsas en línea, y porque las transacciones no pueden ser revertidas".

El equipo de REACT ha participado en varios casos de intercambio de SIM en este momento.

Por ejemplo, a principios de julio de 2018, Christian Ferri, CEO de la empresa BlockStar, con sede en San Francisco, fue pirateado y, según se informa, perdió $100.000 en criptomonedas como resultado de un intercambio de tarjetas SIM, de acuerdo con KrebsOnSecurity.

Ferri estaba de viaje en Europa cuando descubrió que su teléfono T-Mobile ya no tenía servicio - los hackers supuestamente habían entrado en la base de datos de clientes de T-Mobile y desactivado la tarjeta SIM de su teléfono. En su lugar, activaron uno nuevo, que estaba conectado a su propio dispositivo.

Los ladrones usaron el control de su número de móvil para cambiar la contraseña de su cuenta de Gmail. Luego, accedieron a un documento de Google Drive con las credenciales de Ferri para otros sitios, incluyendo un intercambio de criptomonedas. A pesar de tener la posibilidad de robar más fondos de Ferri, los ladrones sólo se centraron en sus cripto-ahorros.

Curiosamente, Ferri le dijo a KrebsOnSecurity que cuando se acercó a T-Mobile sobre el ataque, la compañía le informó que el criminal había entrado en una tienda de T-Mobile y mostró una identificación falsa a nombre de Ferri.

Sin embargo, cuando el equipo de REACT estudió el video de vigilancia de la fecha y hora de su cambio de SIM, supuestamente no mostró evidencia de que alguien entrara a la tienda para presentar una identificación falsa. Ferri argumenta que la explicación del incidente por parte de T-Mobile "fue un malentendido en el mejor de los casos, y más probablemente un encubrimiento a algún nivel".

La policía interviene: se están realizando detenciones

El primer caso denunciado contra alguien que supuestamente usó el intercambio de tarjetas SIM surgió a finales de julio de 2018, cuando la policía de California arrestó a un joven de 20 años, Joe Ortiz, que supuestamente pirateó a unas 40 víctimas con la ayuda de colaboradores aún no identificados.

Como señala Motherboard, Ortiz y sus asociados "atacaron específicamente a personas involucradas en el mundo de la criptomoneda y la cadena de bloques", supuestamente hackeando a varias personas durante la conferencia de Consensus en Nueva York en mayo.

El hacker se enfrenta ahora a 28 cargos: 13 cargos de robo de identidad, 13 cargos de piratería informática y dos cargos de hurto mayor, según la denuncia presentada contra él. Ortiz ha dicho a los investigadores que él y sus "co-conspiradores" tienen acceso a "millones de dólares en criptomonedas", según la declaración presentada en la corte por el investigador jefe.

El mes siguiente, en agosto, la policía de California arrestó a otro presunto intercambiador de SIM,
Xzavyer Narváez de 19 años. Narváez está acusado de siete cargos de delitos informáticos, fraude de identidad y robo de identidad, según la denuncia.

Antes de ser arrestado, Narváez se las arregló para gastar parte del Bitcoin robado en autos deportivos. Después de estudiar los registros del DMV, la policía descubrió que compró un McLaren 2018 pagando en parte en Bitcoin y en parte mediante un Audi R8 2012, que Narváez compró con Bitcoin en junio de 2017.

Según documentos judiciales, las autoridades también obtuvieron datos del proveedor de pagos Bitcoin BitPay, y de las bolsas de criptomonedas Bittrex. Reveló que entre el 12 de marzo y el 12 de julio de 2018, la cuenta de Narváez había administrado 157 Bitcoin (ahora con un valor de alrededor de un millón de dólares).

Una investigación separada supervisada por REACT dio como resultado que dos hombres fueran arrestados en Oklahoma. Fletcher Robert Childers, de 23 años, y Joseph Harris, de 21, fueron acusados de robar 14 millones de dólares de una empresa de criptodivisas con sede en San José, Crowd Machine, a través de intercambios SIM.

Según Etherscan, el 22 de septiembre se transfirieron alrededor de 1.000 millones de tokens de la cartera de Crowd Machine a las bolsas, y el precio de las fichas se hundió, perdiendo alrededor del 87% de su precio durante la noche, como muestran los datos obtenidos de CoinMarketCap.com.

El fundador y CEO de Crowd Machine, Craig Sproule, confirmó que el hacker tuvo lugar y que dos sospechosos fueron arrestados en Oklahoma News 4, pero se negó a proporcionar detalles adicionales a los medios de comunicación, citando la investigación en curso.

El Agente Especial a Cargo, Ken Valentine, proporcionó más detalles sobre el incidente, discutiendo la naturaleza de los intercambios SIM:

"Si (un sospechoso) se dirigió a la persona correcta que tiene la criptomoneda en ese teléfono, entonces usted tiene acceso inmediato a eso. Con la autenticación de dos factores tienen el número de cuenta para la criptomoneda y pueden recibir mensajes de autenticación en el teléfono móvil intercambiado".

"Como un hotel dando una llave de habitación a un ladrón con una identificación falsa".

En un caso separado de intercambio de SIM de alto perfil, el 15 de agosto, el empresario de Puerto Rico y CEO de TransformGroup, Michael Terpin, presentó una demanda de $224 millones contra AT&T. Cree que el gigante de las telecomunicaciones había proporcionado a los hackers acceso a su número de teléfono, lo que llevó a un importante cripto robo . Esto podría ser un precedente legal para el intercambio de tarjetas SIM, en el que la víctima demanda a su proveedor de telecomunicaciones por permitir que los hackers se apoderen de su número de teléfono.

Terpin afirma que perdió $24 millones en criptomoneda como resultado de dos ataques que ocurrieron en el transcurso de siete meses: La queja de 69 páginas menciona dos episodios separados, fechados el 11 de junio de 2017 y el 7 de enero de 2018. En ambos casos, según el documento, AT&T no protegió la identidad digital de Terpin.

En primer lugar, en el verano de 2017, el empresario se enteró de que su número de AT&T había sido pirateado cuando su teléfono se quedó sin batería, según la denuncia. Luego se enteró por AT&T que su contraseña había sido cambiada remotamente "después de que 11 intentos en las tiendas de AT&T habían fallado".

Después de acceder al teléfono de Terpin, los atacantes usaron su información personal para entrar en sus cuentas que utilizan números de teléfono como medio de verificación, incluyendo sus "cuentas en criptomoneda". Los hackers también habrían secuestrado la cuenta de Terpin Skype para hacerse pasar por él y convencer a uno de sus clientes de que les enviara criptomoneda.

Según se informa, AT&T cortó el acceso a los hackers sólo después de haber conseguido robar "fondos sustanciales" a Terpin. El documento también establece que después del incidente, el 13 de junio de 2017, Terpin se reunió con representantes de AT&T para discutir el ataque y se le prometió que su cuenta sería movida a un "nivel de seguridad más alto" con "protección especial".

Sin embargo, medio año después, el 7 de enero de 2018, el teléfono de Terpin se apagó de nuevo debido a otro ataque. La reclamación afirma que "un empleado de una tienda de AT&T cooperó con un impostor que cometió un fraude de intercambio de SIM", a pesar de que en junio de 2017 se tomaron medidas de seguridad adicionales.

Los ladrones supuestamente robaron cerca de $24 millones en criptomonedas durante el segundo ataque, a pesar de que trató de contactar a AT&T "instantáneamente" después de que su teléfono dejó de funcionar. AT&T supuestamente "ignoró" su petición. La demanda de la demandante argumenta que la esposa de Terpin también intentó llamar a AT&T en ese momento, pero fue puesta en "espera interminable" cuando pidió ser conectada con el departamento de fraude de AT&T.

"Lo que AT&T hizo fue como si un hotel le diera a un ladrón con una identificación falsa la llave de una habitación y la llave de una habitación segura para robarle joyas a su legítimo dueño", dice la denuncia, enfatizando la escala potencial de las estafas de "port out", así como la responsabilidad de los proveedores de telecomunicaciones.

"AT&T no está haciendo nada para proteger a sus casi 140 millones de clientes del fraude con tarjetas SIM."

Mientras tanto, las fuerzas del orden han empezado a prestar más atención al intercambio de tarjetas SIM, como se mencionó anteriormente en el programa de California. El comandante de REACT John Rose ambiciosamente declaró:

"REACT no va a detener la investigación de intercambio de SIM hasta que el intercambio de SIM se detenga. "Si nos va a llevar a arrestar a todos los que cambien de SIM en los Estados Unidos."