En contraste con las tarjetas SIM físicas tradicionales, la eSIM representa una innovación al estar integrada directamente en el dispositivo, permitiendo a los usuarios activar el servicio de forma digital a través de una aplicación o escaneando un código QR. Sin embargo, la compañía de ciberseguridad ESET alerta sobre los riesgos asociados con esta nueva tecnología, ya que los ciberatacantes han adaptado sus tácticas de ataque para aprovecharse de ella.
Los expertos de ESET advierten que los delincuentes han desarrollado nuevas estrategias para explotar vulnerabilidades asociadas con la eSIM. Una vez que obtienen acceso al dispositivo de la víctima, pueden fácilmente adquirir códigos de acceso y autenticación de dos factores para diversos servicios, incluyendo banca y mensajería, abriendo así la puerta a una amplia gama de estafas.
El modus operandi de los cibercriminales implica el uso de credenciales robadas, forzadas o filtradas para acceder a las cuentas móviles de los usuarios. Este ataque comienza con técnicas como la ingeniería social y el phishing, que les permiten irrumpir en la cuenta del usuario y obtener el código QR necesario para activar la eSIM en su propio dispositivo, secuestrando así el número de la víctima.
Según un informe reciente de la empresa rusa de ciberseguridad F.A.C.C.T., el fenómeno del SIM swapping ha ido en aumento durante el año pasado, aprovechando la transición hacia la tecnología eSIM. Se han registrado más de un centenar de intentos de acceso a las cuentas personales de clientes en servicios en línea en una sola institución financiera en el transcurso de 2023, siendo estos establecimientos los principales blancos después de un ataque de clonado de eSIM.
La advertencia de ESET destaca la importancia de implementar medidas de seguridad robustas y estar alerta ante posibles intentos de fraude en el contexto de la transición hacia la eSIM. Con la colaboración entre empresas de seguridad y usuarios informados, se puede mitigar el riesgo y proteger la integridad de las cuentas móviles y los datos personales.
Nunca utilizar la verificación en dos pasos a través de SMS: de todas las formas de proteger un eSIM, la cuenta de WhatsApp o las redes sociales, la verificación por SMS es desaconsejada. Con acceso al número, el ciberdelincuente podrá piratear sus otras cuentas con facilidad al recibir el código de seguridad por mensaje de texto. Se recomienda utilizar siempre aplicaciones de token de acceso para proteger las cuentas.
Habilitar la verificación en dos pasos en WhatsApp: abrir WhatsApp; seleccionar “Menú” (los tres puntos) y luego en “Configuración”; tocar “Cuenta”, “Verificación en dos pasos”; establecer un código PIN de seis dígitos, que se pedirá cuando se inicie sesión en WhatsApp. La aplicación solicita al usuario el código de vez en cuando, para asegurarse de que alguien más no lo esté usando; También se puede configurar una dirección de correo electrónico para recuperar el PIN en caso olvidarlo. En algunos casos, WhatsApp puede pedir agregar un correo electrónico de recuperación si se olvida el código. Es extremadamente importante que este correo electrónico también esté protegido por la verificación en dos pasos que no sea a través de SMS.
Prestar atención al phishing: el intercambio de SIM se basa especialmente en estafas de phishing, como correos electrónicos y mensajes sospechosos. Dado que se trata de una estafa vinculada a la ingeniería social, es importante tener cuidado con los contactos extraños.
Contenido GEC