Una nueva estafa circula por WhatsApp. En realidad, la técnica es siempre la misma, pero sus ropajes van cambiando. Esta vez, la excusa de una “quinta dosis” de vacunación contra el Covid-19 ya se cobró varias víctimas: los delincuentes roban nuestra cuenta y comienzan a pedirles dinero a nuestros contactos. Más de uno cae.

Se trata de una forma más de lo que se conoce como “sim swapping”, o intercambio de tarjeta SIM, el chip que porta la línea telefónica. Los delincuentes se hacen pasar por entidades oficiales, como el Ministerio de Salud, para pedir el código que WhatsApp manda por SMS para activarse. Una vez que la víctima lo entrega, pierde acceso a su cuenta. Y ahí comienzan a intentar estafar contactos.

Esta modalidad ya tiene varios años dando vueltas, pero la versión de «la quinta dosis» de vacunación contra el coronavirus es reciente. Se trata de una aplicación para determinados casos particulares (personas mayores de 50 años que recibieron como primeras 2 dosis la vacuna Sinopharm y a las personas con inmunocompromiso, en principio).

Los estafadores llaman a sus víctimas y les dicen que tienen turno para la quinta dosis, pero que para poder guardarse el turno, deben comunicar un código que les llegará por SMS.

El problema es que ese código no tiene nada que ver con la vacuna, sino que es el que envía WhatsApp cuando introducimos una tarjeta SIM con nuestra línea en un nuevo dispositivo.

Ahora bien: ¿Cómo consiguen los delincuentes una tarjeta SIM con nuestra línea? ¿Cómo es exactamente esta estafa?

SIM Swapping: cómo operan los delincuentes

Las tarjetas SIM son circuitos integrados que almacenan el número de teléfono, junto a otros datos sensibles como la identidad de la línea a nivel internacional y un código de serie único. Son transferibles entre dispositivos: con solo retirar la tarjeta y colocarla en otro teléfono se traslada la línea telefónica y los datos personales.

Los especialistas en seguridad informática afirman que los delincuentes utilizan esta técnica para duplicar la tarjeta SIM del celular de sus víctimas. Así, pueden acceder a toda su información personal y, sobre todo, utilizarlas en la verificación por medio del móvil (SMS) que suelen pedir las aplicaciones (de hecho, algunas compañías como Mercado Libre están migrando a otro tipo de verificaciones por lo inseguro que es este método).

El problema parte de la ingeniería social: el delincuente utiliza una filtración de datos personales (lo que en la jerga se conoce como data leak) para llamar a Personal, Movistar o Claro, y pedir una nueva tarjeta SIM para retirar (pickup). Esta tarjeta SIM porta la línea de la víctima.

Una vez que tienen la SIM, los delincuentes contactan a la víctima, también en la línea de la ingeniería social: consiste en el engaño a través de la persuasión y manipulación psicológica, como así también aprovecharse del error humano.

El código que solicitan es el que WhatsApp Envía por SMS para poder activar la cuenta: cuando lo pasamos, ellos lo activan en su dispositivo, cierran todas las sesiones de WhatsApp Web y activan la verificación en dos pasos de la aplicación.

De esa manera, quedamos bloqueados para poder recuperar nuestra cuenta.

Para no caer en esta estafa hay dos estrategias infalibles.

Cómo protegerse: ponerle clave a WhatsApp

WhatsApp tiene lo que se llama «autenticación de dos pasos». Esto es un paso extra para poder iniciar sesión en WhatsApp. Algo que, si lo tenemos activado, es imposible que entren a nuestra cuenta, salvo que también entreguemos este código.

La diferencia con los SMS es que en este caso la alarma en la víctima puede prenderse de manera más rápida: no tendría sentido entregar la clave de WhatsApp a un tercero.

Es un paso más de seguridad ya que si se instala la aplicación en un nuevo dispositivo, se solicitará el código de seis dígitos que se ha establecido, así como la verificación correspondiente. Y ese dato sólo es conocido por el usuario legítimo.

Segundo método: ponerle PIN a la SIM

Pocos saben que más allá de la clave del teléfono, la tarjeta SIM también puede ser protegida por un pin de 4 números.

Una tarjeta SIM generalmente viene con un PIN predeterminado, pero no se usa para fines de bloqueo. La tarjeta SIM también tiene una clave de desbloqueo de PIN (PUK) asociada, que se suele usar solo cuando se compra la línea por primera vez.

Pero la tarjeta SIM puede tener clave para cada vez que se prenda el teléfono. De este modo, si un estafador pide una SIM con nuestro teléfono y la inserta en su dispositivo, tendrá que poner la clave que nosotros hayamos elegido. De esta manera, no podrá entrar para acceder a nuestras cuentas.

Para hacer esto hay que acceder a las opciones de seguridad del dispositivo.

Una vez allí hay que activar las opciones avanzadas, donde desplegará la opción de bloqueo de SIM. Allí se puede cambiar el pin. Es tan simple como elegir un número que recordemos y listo.

Como consejo, es muy importante no olvidar este pin, siendo una buena idea anotarlo en un papel y dejarlo en un lugar seguro en casa.

Claves para evitar estafas por WhatsApp y redes sociales

*Si se recibe un mensaje pidiendo dinero, primero se debe comprobar si el número es correcto. Si de repente alguien tiene un número nuevo y pide dinero, eso ya es sospechoso.

*Esperar un momento y comprobar el lenguaje y el estilo de comunicación del mensaje. Si es distinto de lo habitual, hay que estar alerta.

*Intentar comunicarse con la persona que pide el dinero.

*Evitar la presión del estafador y mantener la calma.

*Nunca enviar un código de verificación sin preguntarle a la persona que lo solicita.

*Mientras tanto, Apple ya migró su sistema a un tipo de SIM electrónica: es decir, no hay SIM física.

*No está del todo claro, aún, qué tipo de estafas podrán surgir a partir de esto, pero seguramente los delincuentes estén al acecho.

Dejar una respuesta

Please enter your comment!
Please enter your name here