Sim swapping – lo oímos menos últimamente, pero sigue existiendo

[Hispo]

Leemos acerca de casos de sim swapping con consecuencias nefastas sobre el dinero o las cuentas de criptomonedas de las víctimas, pero lo que es menos habitual es que leamos sobre multas aplicadas a las operadoras por no poner los controles suficientes a esta práctica.

Recientemente, el operador de telefonía móvil Digi ha sido multado con 200.000 € por la Agencia Española de Protección de Datos, al realizar entregar un duplicado de una tarjeta sim a alguien que no era el titular. El usurpador de identidad luego aprovechó para aligerar la cuenta bancaria de la afectada a su favor.

Digi, el operador, no obstante ha recurrido la sanción, y ha solicitado que ésta se suspende. Reitera a su vez que procedieron de manera correcta, por lo que entiendo que están llamando de manera velada mentirosa a la persona afectada…

Ver:
https://www.genbeta.com/seguridad/multa-200-000-euros-a-digi-duplicar-tarjeta-sim-pedir-dni-darsela-a-estafador-que-no-dudo-robar-a-victima

Creo que muchas de las estafas y problemas que se dan con Sim-swap, en los que la persona lamentablemente sufre pérdidas económicas, podrían resolverse de forma relativamente rápida y facil si las agencias de telefonía hacen lo que se hacía hace no muchos años y le piden s la persona estar face to face en la agenciay presentar un ID. Obviamente, el ID tiene que coincidir con los datos de las persona en el contrato de la línea telefónica. Eso sería más que suficiente.

Sin contar que en Europa y en muchos países relativamente desarrollados de europa y america latina (como Chile), es usual que los ID tengan un chip con datos biométricos de la persona en cuestión. Haciendo aún más difícil wue alguien falsifique la identidad de un cliente de la operadora. A mí parecer, está operadora en particular puede haber sacrificado mucho la seguridad en pro de la comodidad de los usuarios. No se han interesado en buscar el equilibrio.

[Silberman]

...

Digi, el operador, no obstante ha recurrido la sanción, y ha solicitado que ésta se suspende. Reitera a su vez que procedieron de manera correcta, por lo que entiendo que están llamando de manera velada mentirosa a la persona afectada…

Ver:
https://www.genbeta.com/seguridad/multa-200-000-euros-a-digi-duplicar-tarjeta-sim-pedir-dni-darsela-a-estafador-que-no-dudo-robar-a-victima

Pues es la misma hipocresía de siempre con las compañías, por un lado, argumentan que hicieron todo de acuerdo a las normas y que su actuar fue el correcto, pero al mismo tiempo mencionan que han reforzado sus medidas para evitar el SIM swapping, pero si esto fuese cierto ¿Por qué necesitan reforzar las medidas contra este tipo de ataque? ¿No bastaría entonces, si sus dichos fuesen ciertos, en dejar las cosas así como están y ahorrarse así costos adicionales al implementar esas nuevas medidas?

El hecho de que estén dispuestos a hacer esto es indirectamente una admisión de culpa, pero no pueden hacer esto públicamente porque dañaría su imagen corporativa, así que, aunque parece claro que son responsables, han pasado a la ofensiva y han empezado a hacer uso del sistema legal para salirse con la suya.

[DdmrDdmr]

El hecho de que existan protocolos de verificación de la identidad en las compañías telefónicas es un "se le supone". El problema es que éstos protocolos se pueden saltar, sea por falta de pulcritud en su seguimiento, o por complicidad de algún empleado. Entiendo que de todo queda traza, registrándose quién realizó qué gestión en el sistema, y esto probable mitigue el problema potencial, aunque como hemos visto, los casos saltan a la palestra de vez en cuando con resultados que pican.

Aunque no creo que ninguna operadora se libre de estos casos, es probable que existan algunas con mayor relajación que otras. Estoy pensando en las Lyca, Lebara y del perfil, pero sin que haya realmente localizado nada al respecto que sustente mi hipótesis. Por otro lado, es probable que los casos de mayor impacto sean precisamente de las compañías "top", como fue el caso de los 400 M $ robados de FTX mediante el sim swapping a un empleado.

[famososMuertos]

Hay algo clave en el artículo arriba mencionado, las compañías de telecomunicaciones no fueron diseñadas para usarse como dispositivos de seguridad por un tercero.

Solo se diseñaron para hacer llamadas, y)o enviar mensajes de textos. Guardando las distancias entre pares "P2P". 

En otras palabras la seguridad que proveen es la que les funciona y que se adapta a sus costos, cualquier implementación genera costos operativos adicionales.

Aunque pareciera que es obvio, que la seguridad ha mejorado, si, pero por el lado de ellos, incluso donde vivo, todo es online, y para reclamos la Apps.

La realidad es que el uso de 2FA, huella dispositivo, encriptado debería ser la línea a seguir para los servicios a los cuales uno se afilia, pero el P .H. O. N. E. sigue siendo prioridad.

Lo mejor que pueden hacer las compañías es proponer una doble identificación para cualquier cambio de sus servicios. O un simple código de frases que adquiere cuando te asignan la línea.

[darbitmobilerecovery]

Aunque pareciera que es obvio, que la seguridad ha mejorado, si, pero por el lado de ellos, incluso donde vivo, todo es online, y para reclamos la Apps.

Creo que globalmente se tiende a esto, aca es igual tambien de hecho Movistar que esta en todo el mundo hispanohablante dejo de tener oficinas comerciales en gran parte del territorio nacional y es todo via APP, whatsapp o llamado. Lo cual debo decir que anda muy bien hasta que tenes algun problema no contemplado por las respuestas normales....

Lo de que no fueron desarrolladas para ser contralor de seguridad es verdad pero eso tampoco quita que con simples cambios todo esto se solucionaría ejemplo como el que citaste al final y que se de buena fuente de que una compañia ofrece poner para ciertos tramites (baja o cambio de titularidad etc) una frase o un código que solo nosotros sabemos.

Acá en Argentina el sistema funciona bastante bien contra la base de datos del Renaper cuando uno se activa un chip se le hacen preguntas estilo, tiene relacion con fulanito? es pariente de pepito? la dirección tal es la suya? o cosas por el estilo, el problema de este sistema es que muchos de esos datos son conseguibles abiertamente o con minima ingeniería social.

[DdmrDdmr]

<…> aca es igual tambien de hecho Movistar que esta en todo el mundo hispanohablante dejo de tener oficinas comerciales en gran parte del territorio nacional y es todo via APP, whatsapp o llamado <…>

Pues sin la presencia física del titular de la línea para hacer la gestión de un duplicado de tarjeta sim, base para el llamado sim-swapping, parece que se abona el campo para que sea más factible hacer la pirula y engañar de alguna manera. Vamos, que si uno suele cambiar la tarjeta precisamente por haber perdido el móvil, la app ya no sería un canal de gestión factible (digo yo).

He mirado el protocolo de cara al usuario de Movistar en España, y éste explicita que, por motivos de seguridad, el duplicado sim debe gestionarse por parte del titular de la línea en una tienda del operador "con tus datos personales o con tu DNI". No me gusta el fraseado de la parte entre comillas, y quiero entender que es DNI o pasaporte la norma efectiva. Nada de apps ni canales alternativos por allí.

Se ve que la seguridad va por barrios, o mejor dicho, por rentabilidad corporativa ...

Ver: https://comunidad.movistar.es/t5/Bienvenida-y-Noticias/As%C3%AD-puedes-solicitar-un-duplicado-de-la-tarjeta-SIM-en-Movistar/td-p/4712121

[darbitmobilerecovery]

Medio OT pero no vi rapido otro hilo en el cual podria ir.

Siempre que hablamos de esto sale el tema del DNI y datos virtuales activaciones , etc.
Ahora bien algo que pasa mucho hoy en dia es que uno cree estar a salvo porque NUNCA dio su DNI o lo que fuera, el problema es que cadavez sucede mas que las propias bases de datos del estado son vulneradas con demasiada facilidad.

Lo cual nos lleva a preguntarnos, vale la pena protegernos tanto? (obviamente que la respuesta sigue siendo SI) pero uno nunca esta completamente a salvo.

Dejo aca la noticia de un nuevo hackeo a otra dependencia del estado argentino en el cual se filtraron los carnets de conducir en este caso.

[annamari69]

El intercambio de tarjetas SIM no solo puede tener un impacto directo, sino que también puede tener consecuencias si se logra impersonar al afectado en las redes sociales de Acompañantes em Buenos Aires usando el control del número móvil.

[seoincorporation]

Siempre que hablamos de esto sale el tema del DNI y datos virtuales activaciones , etc.
Ahora bien algo que pasa mucho hoy en dia es que uno cree estar a salvo porque NUNCA dio su DNI o lo que fuera, el problema es que cadavez sucede mas que las propias bases de datos del estado son vulneradas con demasiada facilidad.

Lo cual nos lleva a preguntarnos, vale la pena protegernos tanto? (obviamente que la respuesta sigue siendo SI) pero uno nunca esta completamente a salvo.

Dejo aca la noticia de un nuevo hackeo a otra dependencia del estado argentino en el cual se filtraron los carnets de conducir en este caso.

Creo que esto es un riesgo que se corre en cualquier país, justo el mes pasado salió la noticia de el hackeo en el SAT en México, El SAT es el Servicio de Administración Tributaria, y ellos tienen la información mas sensible que puede tener la ciudadanía ya que ademas de tener tus datos personales ellos cuentan con tu Firma Digital la cual nos sirve para emitir facturas. En el pasado dicha dependecia fue vulnerada y esto llevo a los atacantes a poder exigir el reembolso de los impuestos directo en sus cuentas, y es algo realmente alarmante.

[Hispo]

Siempre que hablamos de esto sale el tema del DNI y datos virtuales activaciones , etc.
Ahora bien algo que pasa mucho hoy en dia es que uno cree estar a salvo porque NUNCA dio su DNI o lo que fuera, el problema es que cadavez sucede mas que las propias bases de datos del estado son vulneradas con demasiada facilidad.

Lo cual nos lleva a preguntarnos, vale la pena protegernos tanto? (obviamente que la respuesta sigue siendo SI) pero uno nunca esta completamente a salvo.

Dejo aca la noticia de un nuevo hackeo a otra dependencia del estado argentino en el cual se filtraron los carnets de conducir en este caso.

Creo que esto es un riesgo que se corre en cualquier país, justo el mes pasado salió la noticia de el hackeo en el SAT en México, El SAT es el Servicio de Administración Tributaria, y ellos tienen la información mas sensible que puede tener la ciudadanía ya que ademas de tener tus datos personales ellos cuentan con tu Firma Digital la cual nos sirve para emitir facturas. En el pasado dicha dependecia fue vulnerada y esto llevo a los atacantes a poder exigir el reembolso de los impuestos directo en sus cuentas, y es algo realmente alarmante.

Esa clase de acontecimientos me hacen preguntarme a mi mismo si las cosas serían mejores o peores, en el caso de que el gobierno decidiese que nosotros tenemos que administrar nuestra propia identidad, utilizando criptografía asimétrica. Es algo que se que no pasará, pero varias veces (luego de leer cosas similares a esta noticia) se me viene a la mente un escenario de película donde el gobierno le entrega un dispositivo parecido a una hardware wallet a cada ciudadano, y con eso a firmar contratos legales, firmar la compra y venta de vehiculos e inmuebles. Cosas de importancia mayúscula.

¿Que crees que sucedería en un escenario así? Un hackeo centralizado no serviría de nada a los criminales, creo yo.

[seoincorporation]

Esa clase de acontecimientos me hacen preguntarme a mi mismo si las cosas serían mejores o peores, en el caso de que el gobierno decidiese que nosotros tenemos que administrar nuestra propia identidad, utilizando criptografía asimétrica. Es algo que se que no pasará, pero varias veces (luego de leer cosas similares a esta noticia) se me viene a la mente un escenario de película donde el gobierno le entrega un dispositivo parecido a una hardware wallet a cada ciudadano, y con eso a firmar contratos legales, firmar la compra y venta de vehiculos e inmuebles. Cosas de importancia mayúscula.

¿Que crees que sucedería en un escenario así? Un hackeo centralizado no serviría de nada a los criminales, creo yo.

Es un escenario bastante interesante colega ya que va muy a la par de blockchain, es como si el usuario tuviera las llaves privadas mientras que el gobierno maneja las direcciones. Desde mi punto de vista esto podría funcionar bastante bien, en caso de un hackeo al gobierno entonces la información estaría segura ya que el atacante solo tendría acceso a datos encriptados y para desencriptarlos necesitaría la llave privada de cada ciudadano. Incluso dicha llave privada podría estar vinculada al ADN o a los biometricos de cada usuario. Sin embargo todo esto suena a ciencia ficción, vivimos en una sociedad en la que una firma a puño y letra sobre un papel tiene mas poder que una llave enciptada.

[Hispo]

Esa clase de acontecimientos me hacen preguntarme a mi mismo si las cosas serían mejores o peores, en el caso de que el gobierno decidiese que nosotros tenemos que administrar nuestra propia identidad, utilizando criptografía asimétrica. Es algo que se que no pasará, pero varias veces (luego de leer cosas similares a esta noticia) se me viene a la mente un escenario de película donde el gobierno le entrega un dispositivo parecido a una hardware wallet a cada ciudadano, y con eso a firmar contratos legales, firmar la compra y venta de vehiculos e inmuebles. Cosas de importancia mayúscula.

¿Que crees que sucedería en un escenario así? Un hackeo centralizado no serviría de nada a los criminales, creo yo.

Es un escenario bastante interesante colega ya que va muy a la par de blockchain, es como si el usuario tuviera las llaves privadas mientras que el gobierno maneja las direcciones. Desde mi punto de vista esto podría funcionar bastante bien, en caso de un hackeo al gobierno entonces la información estaría segura ya que el atacante solo tendría acceso a datos encriptados y para desencriptarlos necesitaría la llave privada de cada ciudadano. Incluso dicha llave privada podría estar vinculada al ADN o a los biometricos de cada usuario. Sin embargo todo esto suena a ciencia ficción, vivimos en una sociedad en la que una firma a puño y letra sobre un papel tiene mas poder que una llave enciptada.

De hecho, ya hay países y jurisdicciones en las cuales una forma criptografics tiene tanta validez y peso como una firma de puño y letra. Entre esas jurisdicciones están varios países Europeos, si no recuerdo mal.
La cuestión es que un plan así de masivo como el que he descrito requeriría una inversión y también la educación del público sobre la responsabilidad que se le está dando sobre su propia identidad, al darle acceso a claves privadas.
Es algo que igualmente sería realizable para un estado lo suficientemente rico, como Alemania o Suecia, el hacer algo así. Pero los vicios de la centralización y las bases de datos de los ciudadanos en un gentilicio entero con muy difíciles de superar para los gobiernos, especialmente aquellos que gozan de tener centrales de inteligencia con renombre internacional.