Esta práctica llega para hacer frente al sistema de verificación en dos pasos que algunas webs, portales y servicios utilizan como mecanismo de seguridad extra. Por ejemplo, cuando haces una compra en una tienda online, la pasarela de pago de tu banco puede solicitarte que introduzcas un código que te ha llegado mediante un SMS. El objetivo de los hackers, por lo tanto, es obtener ese código de verificación, y la forma más sencilla es a través del acceso a tu línea telefónica. ¿Cómo consiguen ese acceso? Mediante el duplicado de la tarjeta SIM.
Comentarios
creo que ven mi cuenta y me ingresan dinero 😭 😭 😭
#2 A finales de enero fuí al cajero a ver si "picaba" y me daba algo de dinero...metí la tarjeta y me la escupió con tal fuerza y asco que acabó en medio de la calle, cuando desgraciadamente pasaba un camión...
#4 No te quejes, que fue bastante amable para lo que hay y además te hizo un favor...
#4 Parece mentira que te hayas olvidado de tomar zumo de naranja para convertirte en súper pumby.
Estoy sospechando que eres un fraude
#23 Fraude! Llamándote Jesulisto!
Se solucionaría fácilmente poniendo un tiempo de intervalo hasta que se activase un duplicado de SIM que ademas se notificase al mismo numero afectado por SMS, creo yo.
#3 Lo que dices parece una muy buena idea, teniendo en cuenta lo rápido que la gente mira los SMS (casi nunca te llega ninguno) y que una transferencia se puede anular en las siguientes 48 horas ni siquiera haría falta mucho tiempo de espera. Con 60 minutos valdría posiblemente, y así tampoco le jodes la vida al que haya perdido el móvil de verdad y use el sistema legítimamente.
#5 De "en 48 horas", nada. Sólo puedes cancelarla si aún no se ha hecho efectiva (que suele ser a las 12 de la mañana del día siguiente, si la hiciste después de las 12). Y como usen Bizum, olvídate.
#8 De Bizum ni puta idea, pero me suena que alguna persona alguna vez ha contado que al avisar al día siguiente no ha tenido problema, o incluso dos días.
Investigaré a ver que veo al respecto.
#9 La cosa es que los bancos agrupan todas las transferencias que se van haciendo en grandes lotes, y a una hora determinada (normalmente a las 12 de la mañana) las ejecutan, de manera que la cosa se simplifica porque al final lo que se hace es: "yo te tengo que pagar a ti X euros de estas transacciones, y tú me tienes que pagar a mí Y euros de esas transacciones, así que calculamos la resta y hacemos una única transacción de dinero al día". Mientras no se ejecute el lote, el banco puede cancelarlo sin problemas porque la operación en sí no se ha realizado aún; pero si ya se ha ejecutado, el dinero ya está "físicamente" (ya me entiendes) en la otra cuenta, por lo que no se puede echar atrás de manera automática. Sí puedes hacer la petición, y si el dueño de la otra cuenta está de acuerdo, entonces sí es posible echarla atrás, y para eso sí que tienes varios días. Pero si es una estafa, el dueño probablemente diga "no" (más que nada porque probablemente sea una "mula" que no sabe que está haciendo algo ilegal, y realmente crea que esa transferencia le pertenece).
Respecto a Bizum, como es instantánea, no se puede cancelar directamente. Pero obviamente hay seguros, por lo que si denuncias que te han suplantado, probablemente el banco acabará devolviéndote el dinero. Pero no es algo automático, sino que tienes que moverte mucho, y el banco intentará evitarlo.
#10 Se nota que sabes del tema. Me surge una duda con eso que dices: ¿Si la otra persona se niega y se puede demostrar claramente que es una estafa (te han hecho sim swapping), entonces, ¿no le pasa nada a esa persona? ¿O es que usan cuentas de fuera de España?
#11 Es que una cosa es el procedimiento "a través del banco", que supone "ir por las buenas", y otra diferente es ir "por el juzgado", que ya es ir "por las malas". Tú, primero, lo intentas "por las buenas": "hola, mira... que hice esta transferencia y me equivoqué de número de cuenta, no era para ti..."; "anda, ya decía yo que tenía dinero de más... claro, acepto que se anule", y ya. Fue un error, todos lo aceptan, se resuelve la situación "en privado", y listo. Obviamente el banco hace de intermediario porque, por protección de datos, no pueden darte los datos de quien recibió el dinero. Y obviamente ponen un límite de tiempo (creo que son 10 días) porque no voy a reclamar algo que me quitaron hace dos años.
Claro, si no acepta, entonces ya hay que ir al juzgado y poner una denuncia por apropiación indebida, con todo el lío que ello supone de abogados, etc.
Es lo mismo que si te compras algo y te viene defectuoso: vas a la tienda, se lo explicas, y si te dan la razón y te lo cambian, pues ya está resuelto. Pero si no te la dan, entonces te toca ir al juzgado y poner una denuncia.
#8 si te quieren vaciar la cuenta lo pueden hacer en segundos:
* Hacer un traspaso. Es decir una transferencia a una cuenta del mismo banco. Y después esa cuenta la vacían con otros métodos.
*Una transferencia inmediata (son más caras... Pero....)
*Contratan una tarjeta y vacías la tarjeta
* Bizum
#22 Pues responde a #_5, no a mí.
#25 no respondo, complemento tu respuesta.
#26 Ah, perdona. Te entendí mal, entonces.
#22 Bizum no permite enviar más de 6000€ o así al año
#27 ciertamente... si me dedicase a hacer le mal... no usaría ese sistema para hacer el mal. Es más sencillo una transferencia inmediata, o hacer traspasos a otras cuentas.
Es peligroso usar un proceso de autenticación que depende de terceros - y más si estos terceros es una empresa privada - para identificar a un particular. Esto no era la seguridad que los gurús proclamaban años atrás:
- Algo que sabes - contraseña
- Algo que tienes - teléfono móvil
- Algo que eres - biometría
Que, como bien dicen en el artículo, el "algo que sabes" -que solo lo sabes tú- se pueda restablecer con el "algo que tienes" -que se puede falsificar- es increíblemente lamentable. Pero claro, los bancos son entidades privadas así que... ya se sabe. Quien tenga preocupaciones en esto, lo más sencillo es simplemente cambiar de banco.
Para gestiones importantes e ineludibles, en Países Bajos utilizan un sistema propio que en España podría implementarse con el DNI electrónico. Pero claro, para eso ciertos personajes deberían ponerse a trabajar, y bueno... Siempre hay elecciones y eso no importa
#6 esos "gurús" no tienen la culpa de que las operadoras no se tomen en serio la seguridad, y esos "gurus" (no se quienes) van implementando mejoras con el tiempo. Ademas la gente tampoco se toma en serio su propia seguridad, y por simple comodidad no activa todas las opciones de seguridad ni siquiera en servicios clave
#7 Que propones? En la cooperativa donde trabajo lo estuvimos debatiendo, pero no damos con una solución óptima y rápida para autenticar a alguien que dice haber perdido el tlf. Normalmente cuando hacen el ataque tienen información para dar y vender...
#42 Podría ser, por ejemplo, si tiene detalles suficientes, a la par que por 1 o 2 dias comunicarse con ese numero con llamadas y sms pedir también denuncia policial. O directamente bloquear el numero y esperar a que el cliente aporte todos esos datos. Se supone que el atacante dio buenos motivos para hacerlo. Si es el verdadero no habra mayores problemas. Si era un atacante y aparece el verdadero entonces deshacer todo. Pero ¿dar el duplicado asi tan rápido?
Imagino que debe ser por el tema de la competencia, de molestar lo menos posible al cliente y todo eso, no dar sensacion de inseguridad. Como digo, implementar mayores medidas es complicado porque la gente no quiere. Por ejemplo, ¿alguna vez intentaste entrar a una vieja cuenta de facebook? aun con contraseña y email correcto (que FB puede enviar un codio ahi y uno verificarlo) te pide que avises a un par de amigos agregados y ellos deben confirmarlo. Supongo que el algoritmo de FB detectó algo raro y no quiere darle la cuenta a cualquiera. Hoy en día es evidente que la linea de telefono se convirtio en algo clave. En fin como digo, la culpa no es solo del proveedor de servicios, tambien de la gente que quiere todo rapido y facil... si pierde el telefono o surge un atacante, "es culpa de todos menos mia".
#43 Exactamente ese es el problema, acabo de perder o me han robado el teléfono, pero envíame una sim urgente que llevo media hora sin internet ...
Yo siempre intento elegir, si me dejan, un método de doble autentificacion que no dependa de mi número de móvil.
La ingeniería social y los regalitos hacen maravillas a la hora de duplicar una SIM.
De todas las modalidades de Swapping la más interesante es la Cum.
#1 eso mismo decía mi abuela
#15 cuanta sabiduría acumulada.
#19 La pobre mujer pasó hambre en la posguerra y cualquier cosa que había para comer tenía que compartirse.
#20 y además compartía, con amor nada falta.
Hace unos días la AEPD multó con 5,8 millones de euros a las operadoras por no adoptar las medidas necesarias para evitar estos fraudes así que deberían reducirse
y la contraseña de la sim como la obtienen¿
#12 Cada SIM tiene su propia contraseña.
El artículo no explica bien que en realidad aunque se llame así, no es exactamente un duplicado.
Es asignar tu número de teléfono a una nueva tarjeta SIM.
Al menos explican al final que desde el momento en que se activa tu número de teléfono en la nueva SIM, la tuya deja de tener cobertura.
Ahí es donde hay que tener cuidado.
Y mucho decir a los usuarios que tengan cuidado cuando aquí son las operadoras las responsables de no verificar suficientemente la identidad de la víctima.
#14 también se puede tener el mismo número de teléfono en varias sim a la vez. E incluso tener número de teléfono sin tener sim (creo que de momento solo con los iPhones)
#36 Sí, pero no es el caso. Ese es un servicio que hay que contratar. Y no sé si ambos teléfonos reciben todos los SMSs.
#12 Aunque se llama "duplicado" en realidad lo que se duplica es el id que te identifica en la red de telefonía como el número +34 6XX XXX XXX y se guarda en una nueva tarjeta Sim con su propio Pin.
No sería mala idea que el pin de la sim fuese a nivel de operadora y no de tarjeta así aunque te la duplicasen no tendrían acceso directo y tendrían que hacer otro paso más para resetear/recuperar ese pin en la operadora.
Tal y como está ahora da miedito
Lo mejor es no tener tu número de teléfono a tu nombre de forma directa. Problema de SIM swapping resuelto.
#17 Hostia, pues no había caído en ese detalle tan bueno.
#17 y a qué nombre lo pones?? Cómo se hace?
#33 depende de tu situación (si es línea nueva o antigua) y operador. Si es línea nueva es evidente. Si es línea antigua una forma es hacer una reorganización en plan familiar, si es que lo tienes, y depende del operador se cambiará el titular de cada número móvil automáticamente a nombre de quién esté la fibra.
Y Europa sin hacer nada, eso sí, los p* mensajes de las cookies, eso sí es importante
pues no sé, en mi caso tendrían que saber el número de mi tarjeta de crédito, mi nif y mi clave de acceso para autorizar la compra desde la app del banco, el de mi móvil para duplicarlo y abrir la app y recibir el sms.
No sé, no me parece tan fácil.
Vale, no ponemos datos en los phishing pero...y los hackeos a linkedin/facebook y tantos otros? Y lo de pedirte hasta el nombre de tu mascota cuando te haces ficha en el dentista, cap, supermercado o veterinario de tu barrio?
Da miedo el tema
Cuando alguien distribuya su dni en cualquier tipo se transacción y/o documentación, que ponga una marca de agua sobre dicho dni, indicando que solo es válido para el fin en cuestión. Así te quitas muchos quebraderos de cabeza.
Parece razonable que si consiguen robarte por una mala práctica de la operadora telefónica, pues se denuncia a la operadora por el importe sustraido más inmdenización ¿no?