A la hora de realizar compras por internet, la mayoría de bancos exigen una confirmación vía SMS para poder efectuar el pago como medida de seguridad. De esta forma, las entidades bancarias se aseguran de que la persona que está detrás de la orden de compra es el titular de la cuenta. Sin embargo, este método de confirmación no siempre es infalible.
Con el objetivo de alertar sobre posibles fraudes, desde el Instituto Nacional de Ciberseguridad (INCIBE) explican lo que se conoce como swapping, un método de fraude mediante el cual los estafadores obtienen un duplicado de la tarjeta SIM de su víctima para así desviar las confirmaciones de compra a otro teléfono y poder efectuar movimientos bancarios sin la autorización del titular de la cuenta.
Para ejemplificar este tipo de estafa han expuesto el caso de Alberto, una víctima que cayó presa de este engaño. Según cuenta INCIBE, este responsable de compras de una pequeña empresa despertó una mañana y comprobó que su teléfono corporativo había perdido tanto la cobertura como su conexión de datos, pero no le concedió demasiada importancia.
Al conectar su teléfono a una red Wifi, comenzó a recibir notificaciones de la aplicación de la entidad bancaria sobre compras y transferencias realizadas con su tarjeta corporativa. Sin embargo, Alberto no había perdido la tarjeta; estaba en su bolsillo.
Tras recabar información sobre lo ocurrido, desde su compañía telefónica le comunicaron que previamente había solicitado un duplicado de tarjeta SIM y que, por lo tanto, la primera tarjeta había quedado inhabilitada.
¿Cómo pudieron los estafadores solicitar un duplicado sin su consentimiento? Desde INCIBE indican que los delincuentes obtuvieron los datos de Alberto (DNI, domicilio, número de tarjeta, etc.) mediante técnicas de ingeniería social. "Ocurrió unos días atrás vía un SMS que recibió supuestamente de su banco. Con estos datos los atacantes solicitaron a la compañía telefónica un duplicado de tarjeta SIM", explica el instituto. Y así, pudieron tener acceso a los mensajes de verificación de Alberto. "Además, tenían los datos de su tarjeta y con ello pudieron hacer compras", añade.
Cómo evitar el swapping
Para evitar ser víctima de este tipo de estafa, desde INCIBE recomiendan adoptar las siguientes medidas de precaución:
- Verificar la integridad y veracidad de los SMS y correos electrónicos para no ser víctima de phishing o smishing, ya que para realizar esta técnica el ciberdelincuente tiene que conseguir antes nuestros datos.
- Si detectas una anomalía con tu red telefónica llamar a la compañía lo antes posible para comprobar lo sucedido.
- Implementar la verificación en dos pasos siempre que sea posible, mediante aplicaciones como Authy, Google Authenticator o similares. Esto nos permitirá añadir una capa de seguridad más a nuestras aplicaciones.
- Utilizar un gestor de contraseñas con contraseñas robustas y diferentes para cada sitio web que nos registramos y actualizarlas de forma periódica.
- No abrir hipervínculos sospechosos ni descargar contenido dudoso en nuestros dispositivos.
- Mantener actualizados los dispositivos, ordenadores, teléfonos o tabletas.
- Conectar los dispositivos a redes seguras siempre que podamos, evitando conectarnos a redes públicas sin tomar las precauciones correspondientes.
Qué hacer en caso de ser víctima
En caso de ser víctima de swapping, desde INCIBE recomiendan realizar las siguientes acciones:
- Debes ponerte en contacto con tu compañía telefónica para anular ese duplicado de tarjeta y volver a tener disponible nuestro teléfono.
- Ponte en contacto con tu entidad bancaria, debes de anular todas las operaciones realizadas de manera ilegítima y bloquear los futuros movimientos bancarios hasta que se arregle la situación.
- Cambiar las contraseñas y revisar las redes sociales para ver si se ha publicado contenido en nuestro nombre, estas también han podido ser comprometidas.
- Guardar todas las evidencias de lo sucedido y denunciar lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía o Guardia Civil) para que los hechos puedan ser investigados.
