Se ha estado mirando mucho a las tendencias de los delitos de criptomonedas en las últimas semanas, pero el intercambio de SIM ha estado extrañamente ausente en una serie de informes en 2018.

Las compañías de análisis de criptomonedas CipherTrace y Chainalysis publicaron dos informes diferentes que se centran en las principales tendencias de la delincuencia en el criptoespacio en 2018. Aunque sus datos y hallazgos resumen las mayores amenazas de los últimos 12 meses, han omitido la prevalencia del intercambio de SIM recientemente.

Cómo funciona

El cambio de tarjeta SIM es un concepto relativamente simple de entender, pero el daño potencial que se puede hacer a un individuo es aterrador, por decir lo menos.

Cointelegraph se puso en contacto con la compañía multinacional de ciberseguridad y antivirus Kaspersky Labs para proporcionar una definición precisa de cómo funciona el intercambio de SIMs y las diversas formas en que se lleva a cabo.

Los atacantes obtienen información básica sobre un individuo, y luego la utilizan para solicitar que el número de teléfono de ese usuario se cambie a una tarjeta SIM de la que son dueños los atacantes. Una vez hecho esto, el atacante puede recibir cualquier SMS que la víctima reciba. 

Con ese acceso, el atacante puede solicitar contraseñas y otros datos de usuario confidenciales a varios proveedores de servicios, como bancos, y acceder a cuentas privadas. 

El investigador de seguridad de Kaspersky Labs, Alexey Malanov, dice que el acto de reemplazar las tarjetas SIM para acceder a las credenciales de autenticación de dos factores (2FA) se ha vuelto frecuente:

“Un escenario típico puede ser el siguiente: un atacante llega a un departamento regional de un proveedor de comunicaciones -como un operador móvil- con documentos falsificados que se supone que prueban la identidad válida de un cliente. O el atacante simplemente se pone en contacto con un empleado del departamento y recibe un duplicado de las tarjetas SIM de la víctima. La tarjeta SIM auténtica en el teléfono de la víctima se apaga en ese momento, por lo que todas las comunicaciones SMS y llamadas telefónicas posteriores se redirigen al teléfono del atacante.”

El acceso a la 2FA de un usuario le da a un hacker una ventaja masiva cuando se trata de acceder y cambiar los detalles de la cuenta, lo que eventualmente le da acceso a los datos y fondos. 

La autenticación de dos factores es una medida de seguridad adicional para proteger el acceso a un servicio como una billetera de criptomonedas. A los usuarios se les sigue exigiendo que conozcan la contraseña de una cuenta y que posean un dispositivo para probar su identidad. 

Sin embargo, una vez que un hacker tiene acceso a las credenciales de un usuario a través de un intercambio de SIM, puede acceder al segundo factor de autenticación, pudiendo recibir códigos SMS del teléfono original del usuario. Por lo tanto, los hackers tienen muchas más posibilidades de poder restablecer las contraseñas a las cuentas, como explica Malanov:

“Si has olvidado la contraseña del servicio, a menudo puedes restablecerla utilizando el mismo número de teléfono para recibir un mensaje de texto. A veces se requieren conocimientos adicionales (por ejemplo, un nombre de usuario o una dirección de correo electrónico), pero dicha información a menudo no está fuertemente protegida. Es por eso que obtener un teléfono desbloqueado de una víctima, o al menos el acceso a recibir sus comunicaciones SMS, prácticamente garantizará el éxito del hackeo y el robo de fondos.”

Cambio de Sim: ¿más potente que el “phishing”?

El intercambio de tarjetas SIM no es un fenómeno nuevo, pero dados los avances tecnológicos de los teléfonos inteligentes en la última década, la información que potencialmente pueden obtener los delincuentes que utilizan este método lo convierten en una gran amenaza para las personas y su privacidad. 

Los tiempos modernos han visto el surgimiento de aplicaciones que permiten a las personas acceder y administrar sus cuentas bancarias y otra información financiera confidencial utilizando teléfonos inteligentes y otros dispositivos. 

Si bien esto ha creado una nueva era de conveniencia, también proporciona una oportunidad única para que los delincuentes roben datos y dinero de personas de todo el mundo con relativa facilidad.

Como Chainalysis informó, las estafas de Ethereum fueron de particular preocupación en los últimos dos años, y una herramienta importante de los estafadores y criminales era el "phishing". En pocas palabras, los usuarios fueron engañados por correos electrónicos o comunicaciones que parecían oficiales, lo que les llevó a proporcionar información confidencial como nombres de usuario y contraseñas.

Esto da a los delincuentes acceso a sus cuentas, que luego son vaciadas por estos nefastos grupos. 

Dado que los atacantes pueden obtener suficiente información sobre un usuario, pueden convencer a un proveedor de servicios de que lleve a cabo un intercambio de SIM, dándole acceso al servicio SMS de un usuario. 

Una vez hecho esto, la batalla ya está ganada, ya que pueden solicitar contraseñas únicas y otros servicios que les dan acceso a las cuentas de los usuarios.

Este modus operandi se ha centrado tradicionalmente en las cuentas bancarias de los usuarios, pero estas instituciones financieras han hecho esfuerzos concertados para duplicar los controles de seguridad y la verificación. Sin embargo, si se roban los fondos de un usuari, la mayoría de las instituciones financieras pueden hacer retroceder las transacciones o cubrir estas circunstancias con protección de seguro. 

Desafortunadamente, este no es el caso cuando se trata de criptomonedas. Si un atacante obtiene acceso a la clave privada de un usuario o a la criptobilletera y envía criptomonedas a otra billetera, es imposible deshacer la transacción. 

Esta es la razón por la que las billeteras de criptomonedas las claves privadas se están convirtiendo aparentemente en un punto focal para los ataques de intercambio de SIM.

Los criptousuarios en la mira

Uno no necesita mirar más allá de los escándalos más recientes de intercambio de tarjetas SIM en el criptoespacio para entender que esta se ha convertido en una forma lucrativa de robar y lavar fondos.

Un informe en profundidad en noviembre del año pasado profundizó en los oscuros detalles del intercambio de SIMs en la comunidad cripto.

Según numerosas fuentes, los atacantes utilizan la ingeniería social para engañar o convencer a los empleados de telecomunicaciones de que realicen estos intercambios de SIM. En algunos casos, los atacantes sobornan o amenazan a los empleados, mientras que otros empleados abusan de su acceso a la información de los clientes y la transmiten a los hackers para obtener incentivos financieros.

Además, los usuarios de criptomonedas son un objetivo preferido debido a la naturaleza anónima de la tecnología, que facilita el lavado de fondos robados. Esto ha llevado a que personas prominentes en el criptoespacio se conviertan en objetivos de estos atacantes.

La entrevista de KrebsonSecurity con el grupo de aplicación de la ley Regional Enforcement Allied Computer Team (REACT) Task Force, con sede en California, descubre una serie de casos en los que miembros activos de la criptocomunidad han caído presa, como Christian Ferri, CEO de la firma BlockStar de criptomonedas.

Los hackers lograron realizar un intercambio de SIM a través del operador móvil de Ferri, a cuya base de datos tuvieron acceso. Una vez hecho esto, restablecieron su contraseña de Gmail con el uso de su número de teléfono móvil y, a continuación, utilizaron específicamente información de un documento de Google para robar fondos de su criptobilletera. Como señala KrebsonSecurity, los hackers podrían haber robado más, pero parecían estar apuntando a las tenencias de criptomonedas de Ferri.

Capturando a los autores

Los intercambiadores de SIM han tenido un éxito relativo gracias a sus esfuerzos, pero una serie de arrestos en 2018 puso de manifiesto el descuido de algunos jóvenes delincuentes.

En julio de 2018 se arrestó a alguien por primera vez por intercambiar tarjetas SIM en el criptoespacio, ya que la policía de California arrestó a Joe Ortiz, de 20 años de edad, que supuestamente había hackeado a unas 40 víctimas. Ortiz y un grupo de colaboradores aún no identificados atacaron a usuarios en el criptoespacio, hackeando a un número de víctimas en la conferencia de Consenso en Nueva York en mayo. El joven de 20 años se declaró culpable de robo por valor de USD 5 millones y aceptó un acuerdo de declaración de culpabilidad de 10 años de prisión por sus crímenes a finales de enero de 2019, en lo que las autoridades describen como la primera condena de un crimen por intercambio de SIM.

Después de eso, Xzavyer Narvaez, de 19 años, fue arrestado arrestado en California en agosto de 2018 por usar el intercambio de tarjetas SIM para cometer delitos informáticos, fraude de identidad y hurto mayor. Narváez fue descuidado en el uso de sus ganancias mal habidas, comprando un número de autos deportivos durante un período de dos años, los cuales formaban parte de las pruebas que las autoridades usaban para presentar cargos. Además, la cuenta en criptomonedas de Narváez procesó alrededor de 157 Bitcoin entre marzo y julio de 2018, valorados en más de USD 1 millón en ese momento.

Un mes más tarde, en septiembre de 2018, el hacker  Nicholas Truglia, de 21 años, fue arrestado por robar USD 1 millón en criptomonedas utilizando una tarjeta SIM para acceder a la cuenta de la víctima.

En noviembre de 2018, se arrestaron a dos hombres de 23 y 21 años de edad por robar USD 14 millones de una empresa de criptomonedas mediante intercambios de SIM.

Tras el procesamiento de Ortiz en enero de 2019, Dawson Bakies, de 20 años de edad, fue acusado en febrero de robar las identidades y los fondos de más de 50 víctimas en todo el país en un escándalo de intercambio de SIM orquestado desde su casa. Esta fue la primera acusación exitosa de un criminal por usar el intercambio de tarjetas SIM en Nueva York.

El fiscal del distrito de Manhattan, Cyrus R. Vance, dijo que el caso envía un fuerte mensaje a los perpetradores de estos crímenes:

“Hoy mi oficina está poniendo a disposición del público el pequeño puñado de sofisticados 'intercambiadores de SIM'. Sabemos lo que estás haciendo, sabemos cómo encontrarte, y te haremos responsable penalmente, no importa dónde estés. También estamos pidiendo a los operadores de telefonía móvil que se den cuenta de la nueva realidad de que, al portar rápidamente las tarjetas SIM (para facilitar nuevas activaciones y proporcionar un servicio al cliente rápido), están exponiendo a los clientes involuntarios y respetuosos de la ley al robo de identidad y al fraude masivo.”

El 4 de febrero, los fiscales de California acusaron a Ahmad Hared, de 21 años, y a Matthew Ditman, de 23, de conspiración para cometer fraude y abuso informático, fraude de dispositivos de acceso, extorsión y robo de identidad agravado mediante el uso de intercambio de SIM. Se les acusa de intentar acceder a fondos controlados por ejecutivos de compañías relacionadas con criptomonedas e inversores de criptomonedas. Se enfrentan a posibles sentencias de cinco años de cárcel y fuertes multas.

¿Los proveedores de servicios deberían compartir la culpa?

En agosto de 2018, un inversor estadounidense, Michael Terpin, que fue víctima de un intercambio de tarjetas SIM realizado por Truglia, tomó la iniciativa de exigir responsabilidades a los proveedores de servicios de telecomunicaciones por negligencia que condujo a intercambios fraudulentos de tarjetas SIM. Terpin presentó una demanda de USD 224 millones contra el proveedor de telecomunicaciones estadounidense AT&T por negligencia que llevó a la pérdida de alrededor de USD 24 millones en tenencias de criptomonedas. Se entiende que la víctima es el cofundador de un grupo de ángeles de inversores de Bitcoin conocido como BitAngels.

Terpin presentó un informe de 69 páginas ante el Tribunal de Distrito de Los Ángeles contra AT&T porque el robo de USD 24 millones fue el resultado del "robo de identidad digital" de su cuenta de teléfono celular. En los periódicos, Terpin acusa a AT&T de cooperar con el hacker, negligencia grave, violación de los deberes legales y violación de los compromisos de su política de privacidad.

La víctima describió el comportamiento de la compañía de telecomunicaciones "como un hotel que le da a un ladrón con una identificación falsa una llave de la habitación y una llave de la habitación para robar joyas en la caja fuerte del propietario legítimo". Terpin está buscando USD 24 millones en compensación de AT&T, así como USD 200 millones en daños punitivos.

En enero de 2019, Terpin también puso su mirada en Truglia, a quien su equipo legal ha identificado como el principal sospechoso en el intercambio de tarjetas SIM. Truglia y un grupo de cómplices supuestamente llevaron a cabo el intercambio de tarjetas SIM que condujo al robo de USD 24 millones en criptomonedas.

Combatiendo el intercambio de SIM

La prevalencia del intercambio de SIM y la cantidad de cobertura de los medios de comunicación sobre el tema ha hecho que muchas personas sean conscientes de la amenaza que esto representa para su privacidad, datos y activos financieros. Sin embargo, el conocimiento del tema no puede hacer mucho para detener la cantidad de estos crímenes que se están llevando a cabo. 

Como Malanov le dice a Cointelegraph, la responsabilidad de proteger las credenciales de sus usuarios y clientes recae principalmente en los operadores móviles y los bancos. Sugiere que, en caso de que un operador cambie una tarjeta SIM, se bloqueen todas las comunicaciones SMS durante un breve período de tiempo para proteger al usuario, como hacen todos los operadores móviles de Rusia:

“Este es un procedimiento muy incómodo para los usuarios honestos y auténticos, pero también muy eficaz. Una vez que una tarjeta SIM es reemplazada por una nueva, como regla general, uno no puede recibir sms por un tiempo, lo cual puede ser incómodo. Sin embargo, esta acción da tiempo a los usuarios para informar a su operador de telefonía móvil en caso de que no hayan solicitado la sustitución de la tarjeta SIM. Esta medida actualmente la utilizan los principales operadores de telefonía móvil de la Federación Rusa.”

Además, las empresas de telecomunicaciones deben realizar controles de identidad estrictos y solicitar a los usuarios que confirmen ciertos detalles e información antes de que se lleve a cabo un cambio de tarjeta SIM. 

El sector bancario también puede desempeñar un papel en la prevención de robos y fraudes mediante el intercambio de tarjetas SIM. Según Malanov, los bancos son capaces de notar el cambio de un ID de tarjeta SIM, y pueden negarse a enviar un SMS con un código hasta que el usuario se someta a ciertos controles de seguridad, tales como análisis de voz, confirmación de contraseña o código, y otra información.  El investigador de seguridad también destaca el poder de los sistemas antifraude utilizados por los bancos, que analizan el comportamiento de los clientes a través de aplicaciones móviles o bancarias:

“Es muy importante analizar las transacciones. Obviamente, el retiro de cualquier cantidad de dinero -grande o pequeño- que no esté relacionado con el comportamiento de la cuenta regular del cliente es extremadamente sospechoso y tales actividades deben ser detenidas independientemente de cualquier actividad fraudulenta que rodee a las tarjetas SIM o contraseñas del cliente.”

Las instituciones convencionales tienen un gran papel que desempeñar cuando se trata de combatir los delitos de intercambio de SIM. Sin embargo, el criptoespacio proporciona un desafío único que requiere que los individuos tengan mucho cuidado con su información y datos. 

Malanov destaca este hecho, dada la naturaleza descentralizada y la falta de confianza de las criptomonedas, y la falta de medidas de seguridad más estrictas que ofrecen algunos servicios de exchange de criptomonedas y de billetera:

“Las criptomonedas son únicas cuando se trata de procedimientos de seguridad. Como regla general, las medidas de prevención y protección utilizadas por los bancos no son utilizadas por las bolsas y los monederos en línea. Esto se debe no solo a la menor madurez de las organizaciones de criptomonedas en comparación con los bancos, sino también a la ideología de las criptomonedas. Por ejemplo, el propietario de criptomonedas (el que tiene acceso a una clave privada) tiene derecho a hacer cualquier transferencia sin restricciones de los sistemas anti-fraude. Otra complicación es que las transferencias en criptomonedas no pueden cancelarse, disputarse, reembolsarse o bloquearse. Lo que se ha robado, quedará robado.”