Las estafas de intercambio de SIM son un gran problema en los Estados Unidos y la FCC finalmente se está preparando para combatirlas con la propuesta de nuevas reglas.
Los ataques de intercambio de SIM y el fraude de transferencia son problemas importantes, y los incidentes ocurren casi a diario en los EE. UU. Ahora, la FCC está interviniendo.
Los ladrones han estado explotando los servicios de atención al cliente de los operadores para apoderarse de la línea de teléfono móvil de una persona sin siquiera tener acceso físico al teléfono original. Esto le da al atacante acceso a los códigos de autenticación de dos factores basados en SMS de una persona que pueden usarse para acceder a todo, desde la cuenta de correo electrónico de la víctima hasta sus cuentas de criptomonedas.
El proceso se conoce como "ataque de intercambio de SIM" e implica ponerse en contacto con el operador de la víctima para iniciar una transferencia de número de teléfono a una tarjeta SIM que el ladrón tiene en su poder. Si tiene éxito, el teléfono del verdadero propietario perderá servicio inmediatamente y el ladrón obtendrá acceso a todas las llamadas y mensajes de texto enviados a su número. Luego, el ladrón actúa rápidamente, a menudo combinando datos de una variedad de violaciones de datos, para acceder a las cuentas de la víctima y drenar sus fondos.
Un método similar, llamado "ataque de transferencia", funciona esencialmente de la misma manera que un intercambio de SIM. Este ataque mueve el número de la víctima a un operador diferente, a una línea propiedad del ladrón.
La FCC anunciado hoy que se están desarrollando propuestas para crear nuevas reglas en torno al proceso de intercambio de SIM. Al parecer, la comisión ha recibido muchas quejas de las víctimas de estos ataques. Las reglas buscarán exigir a los operadores que autentiquen de forma segura la identidad de un cliente antes de permitir transferencias de números a un nuevo dispositivo o operador.
T-Mobile en particular ha tenido muchosincidentes de Ataques de intercambio de SIM, sin mencionar la importante violación de datos en agosto. AT&T tiene quejas similares. Verizon parece ser el menos afectado por el problema, ya que requiere la confirmación directa del titular de la cuenta antes de permitir que se active un intercambio de SIM.
Por ahora, se recomienda encarecidamente utilizar una clave de seguridad o autenticación de dos factores basada en aplicaciones y evitar la 2FA basada en SMS siempre que sea posible. Con suerte, las nuevas reglas que crea la comisión ayudarán a evitar apropiaciones de cuentas en el futuro.