A principios del mes de marzo, justo antes del confinamiento por el estado de alarma por la pandemia del coronavirus, agentes de la Policía Nacional, en una operación conjunta con la Guardia Civil, desarticularon una organización criminal internacional especializada en la comisión de estafas por el método de SIM swapping, o duplicado de la tarjeta SIM sin consentimiento. Se detuvieron a 12 personas, en Benidorm (5), Granada (6) y Valladolid (1), como presuntos autores de más de 100 estafas en las que habrían obtenido más de 3.000.000 de euros de beneficio ilícito.

El modus operandi comprendía varias fases. En la primera los investigados se apoderaban de las claves de acceso a los portales de banca online de las diferentes entidades mediante técnicas de “phishing”, “malware” o “pharming”. Conseguidas las claves, solicitaban un duplicado de las tarjetas SIM de las víctimas, aportando a las empresas de telefonía móvil documentación falsa -en algunos casos, incluso de personajes públicos- con intención de recibir los códigos de confirmación de las transferencias fraudulentas que posteriormente realizaban.

Obtenidos esos códigos, realizaban las transferencias desde las cuentas de las víctimas a cuentas de terceras personas, que les servían para canalizar el dinero. En otras ocasiones, también solicitaban préstamos preconcedidos o microcréditos a las entidades bancarias, con el fin de obtener mayor beneficio económico.

Todo ello se realizaba en un corto periodo de tiempo, entre una y dos horas, tiempo máximo en el que la víctima se percataba de que su teléfono había dejado de funcionar -ya que su tarjeta SIM estaba inactiva- debido a que ya se estaba operando con la nueva tarjeta duplicada. De esta manera, a cada perjudicado le sustraían de sus cuentas bancarias cantidades que iban desde los 6.000 hasta los 137.000 euros, en uno de los casos.

Nueva intervención de la Policía Nacional se salda con 94 detenciones

Esta modalidad de ciberdelincuencia, el SIM swapping, vuelve a ser noticia. La Policía Nacional ha detenido recientemente a 94 personas que habían estafado no menos de medio millón de euros por este método. A los detenidos se les atribuyen los delitos de estafa continuada, blanqueo de capitales, pertenencia a grupo criminal y en algunos casos falsificación y usurpación de estado civil.

Entre los arrestados podían encontrarse falsificadores, muleros, blanqueadores de beneficios o contratadores, incluso organizadores que evadían los beneficios de la actividad a otros paises por medio de una entidad de cambio de divisas o mediante inversiones en criptomoneda.

Los investigadores de las unidades especializadas en la lucha contra la ciberdelincuencia, se percataron de la existencia de denuncias en las que se identificaba un mismo modus operandi que volvía a consistir en dos fases principales: apropiarse de las claves de acceso a la banca online de la víctima por el método del phishing y realizar el SIM swapping, duplicando la tarjeta SIM del teléfono del perjudicado, engañando mediante documentos oficiales falsificados a empleados de una tienda de telefonía, obteniendo así una copia de la tarjeta de su teléfono móvil.

De esta forma recibían los mensajes del banco de la víctima, con las claves necesarias, autorizando transacciones económicas que previamente realizaron en su beneficio.

Son numerosos los afectados.

¡Cuidado con la calculadora y la linterna del móvil!: te pueden hackear los datos del banco

Según cuenta el diario El Periódico, existe un documento interno de la Guardia Civil al que ha podido acceder, titulado “Ciberdelincuencia: ataques contra 2FA SIM Swapping”, enviado el pasado 30 de abril a todas las comandancias, en el que se dice que se han detectado “nuevas tendencias y modus operandi” entre los estafadores y alertan de este nuevo fraude para hacer pagos y transferencias online.

El documento describe el modus operandi citado anteriormente, es decir, y por resumir, primero phising y a continuación SIM Swapping. Sin embargo, hay otro sistema más complicado de detectar: es el lanzamiento de ataques informáticos camuflados tras aplicaciones del móvil, como la calculadora o la linterna del teléfono. Cuando el usuario utiliza esta aplicación aparentemente inocua, se instala en el teléfono un código oculto que escanea el dispositivo en busca de aplicaciones bancarias instaladas. Cuando el usuario inicia una de estas, se ejecutará una página idéntica justo encima, que será controlada por el ciberdelincuente y en ella el propio usuario insertará sus credenciales.

La burla de todos los protocolos

Cuando un cliente de banca electrónica realiza una transacción económica en Internet, su entidad le manda un código vía SMS que suele ser numérico para validar la operación. Lo malo es que, según el documento interno de la Guardia Civil, “ya hay delincuentes que saben cómo acceder a ese código ilegítimamente”. Y eso a pesar de que el banco cambia esa clave numérica con cada transacción. Este sistema es denominado “ataque al doble factor de verificación ó 2FA”.

El escaso celo de algunos empleados de telefonía

Conseguir el duplicado de una tarjeta SIM es más fácil de lo que pudiera parecer: “Contactan con la operadora de la compañía telefónica haciéndose pasar por el usuario con alguna excusa como puede ser el extravío, rotura o robo de la tarjeta, planteando que necesita mantener el mismo número de teléfono”.

Los empleados de la empresa de telefonía siempre deberían solicitar el DNI, pero hay algunos poco cuidadosos que se conforman con una autorización falsa por parte del supuesto propietario que entrega el ciberdelincuente en mano alegando que no ha podido ir. A veces se hacen con una fotocopia del DNI del titular del teléfono. La Guardia Civil es consciente de que se han producido intentos de sobornos a empleados de telefonía para obtener su colaboración en la organización criminal.