Producto de la generosa invitación formulada por el Instituto Superior de la Judicatura de Panamá y el Departamento de Justicia de los Estados Unidos de Norteamérica, durante el transcurso de esta semana, tuve la inmensa oportunidad de participar en el Seminario "Primer interviniente en caso de intrusión a redes" junto a Magistrados de diferentes nacionalidades y especialistas de la Oficina de Investigación del Departamento de Seguridad Nacional de l mencionando país del norte.

Además de un completo panorama de los objetivos y modos de implementación de la Operación Trinidad Cibernético cuyos alcances se extienden hasta Sudamérica, poniendo -en algún punto- en crisis los fundamentos del concepto de soberanía digital; de conocer en detalle el funcionamiento y logros del programa Operation Cyber Centurión, originado en la iniciativa de la oficina local de la Homeland Security Investigations situada en San Diego en el Estado de California, pude otear las diferentes estrategias y formas que adopta la ciberdelincuencia para llevar a cabo sus designios y navegar entre sus tumultuosas aguas.

Pero no sólo ello, sino que además pude aprehender una de las premisas en las que los funcionarios de las oficinas de investigación más capacitadas y dotadas del mundo occidental, emplea para profundizar la prevención de los ataques de los delincuentes digitales: pensar y razonar como ellos.

Por tal motivo, en esta oportunidad transitaremos en derredor de las particularidades de una nueva modalidad delictiva, junto a algunos consejos para evitar convertirnos en víctimas de delincuentes digitales, desnudando esta nueva estrategia empleada.

Intercambio de tarjeta SIM de los dispositivos móviles

El intercambio de tarjeta SIM -Subscriber Identity Module- o SIMswapping implica duplicar la tarjeta SIM de un teléfono inteligente. La tarjeta SIM es un conjunto de circuitos integrados que almacenan el número de teléfono y un gran cúmulo de otros datos sensibles del propietario del dispositivo móvil, como la identidad de la línea a nivel internacional y un código de serie único. Una característica central, consiste en que son transferibles entre dispositivos: con solo retirar la tarjeta y colocarla en otro teléfono se traslada la línea telefónica y los datos personales al nuevo dispositivo.

Los ciberdelincuentes utilizan diferentes técnicas para duplicar la tarjeta SIM del teléfono celular de sus víctimas, permitiendo a las organizaciones criminales tomar el control de las cuentas de las víctimas y acceder a toda la información almacenada en la tarjeta. Es que de ese modo, pueden acceder a toda su información personal y, sobre todo, utilizarlas en la verificación por medio del móvil que suelen requerir muchísimas plataformas cuando se opera a través de internet, de modo remoto y con lo que se denomina verificación de dos pasos.

El problema parte de las pocas medidas de seguridad adoptadas por las empresas telefónicas para la entrega de nuevas tarjetas SIM. A partir de allí, los ciberdelincuentes son capaces de sortear cualquier tipo de barrera de seguridad por medio de una técnica de ingeniería social, que consiste en el engaño a través de la persuasión y manipulación psicológica, como así también aprovecharse del error humano. De ese modo, logrando que las compañías telefónicas entreguen tarjetas SIM a quien se acerque a pedir una nueva.

Algunas organizaciones, se valen de técnicas como el phishing y el smishing -esto es, la extracción de datos via mensaje de texto- para suplantar la identidad de una persona o empresa y de ese modo obtener información de la víctima, como contraseña, datos de la tarjeta de crédito o copias del documento de identidad. Luego, con esta información y con la que pueden extraer de la extimidad -si, ya no es intimidad- drenada por las redes sociales, se comunican con la compañía telefónica haciéndose pasar por usuarios legítimos y de esta manera obtener una nueva tarjeta SIM con el mismo número de teléfono.

Esta modalidad ha sido una de las estafas más conocidas del corriente año en el norte de nuestro continente y en América Latina. Pero desde luego que esta problemática también existe en Argentina, habida cuenta que en 2021 y lo que va de 2022, se han reportado varios casos de víctimas que dicen haber sufrido el robo de dinero como consecuencia de la clonación del chip.

El mes pasado, por ejemplo, se reportó el caso de una persona que perdió el dinero que habían depositado en su cuenta bancaria tras acceder a un crédito Procrear. En noviembre 2021 se conoció otro caso en el cual los criminales robaron los accesos a una de las aplicaciones de mensajería instantánea -WhatsApp- y redes sociales como Instagram y Facebook.

La Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), ha recibido en las últimas semanas una serie de denuncias por apropiación de cuentas de redes sociales -Facebook, Twitter e Instagram-, correo electrónico , wallets y billeteras bancarias virtuales mediante la modalidad de SIMswapping o duplicación de la tarjeta SIM de los teléfonos celulares.

Por esa razón, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) ha detectado un sensible incremento de los reportes de esta modalidad delictual y advirtió que se trata de casos en los que los usuarios, ante el eventual olvido o pérdida de sus contraseñas, tienen asociado su número de teléfono celular como mecanismo de recuperación, por lo que los atacantes luego de duplicar la tarjeta SIM de la línea móvil -que deja de funcionar automáticamente en el equipo de la víctima- reciben ellos, en otro dispositivo bajo su control, el código de verificación que envían los sistemas para recuperarla.

El peligro del intercambio de SIM es que no necesita acceso físico al dispositivo móvil para clonar la tarjeta SIM. Para ello, los ciberdelincuentes se ponen en contacto con el servicio de atención al cliente de los operadores de telefonía y se hacen pasar por usuarios legítimos.

Si el ciberdelincuente tiene éxito, obtendrá una nueva tarjeta SIM y podrá acceder a la información confidencial almacenada en ella; tales como contactos, contraseñas, datos bancarios, entre otros. De esta manera, secuestrará la línea telefónica de la víctima y usarán toda su información, pudiendo solicitar una nueva contraseña y obtener un código de verificación mediante mensaje de texto para acceder a su banca en línea.

Ante tal circunstancia, hay que estar atento -fundamentalmente- si se advierte que el servicio de telefonía celular se ve interrumpido abruptamente y sin causa aparente, pues es muy factible que el usuario pueda haber sido víctima de esta modalidad, por lo que conviene contactar inmediatamente a la empresa prestataria; utilizar contraseñas robustas, con claves fáciles de recordar pero difíciles de adivinar.

Algunas recomendaciones preventivas

Con el objetivo de evitar o neutralizar los efectos de esta modalidad delictiva y reducir el riesgo de SIMswapping, seria conveniente adoptar las siguientes medidas cuanto antes:

En primer lugar revisar los perfiles en redes sociales, cuentas de correo electrónico y de billeteras o plataformas de bancas virtuales, a fin de verificar si se tiene asociado el número de teléfono móvil como opción de recuperación. En caso que así sea, cambiar la configuración para que, ante la pérdida u olvido de la contraseña, se recupere mediante una aplicación y no por mensaje de texto.

De igual modo, es muy recomendable modificar las contraseñas regularmente, ante la posibilidad que alguna pueda haberse filtrado; utilizar dispositivos actualizados y con antivirus, que están menos expuestos a programas que puedan obtener las credenciales; usar conexiones a internet seguras, especialmente si se va a acceder a lugares que necesiten usuario y contraseña -pensemos en correo, bancos, plataformas de comercio electrónico-; evitando hacerlo conectado a redes inalámbricas abiertas o las cerradas que no sean de confianza.

En el supuesto de que exista una interrupción de la línea telefónica anormal, dicha irregularidad debe ponerse en conocimiento de la compañía prestataria cuanto antes y preguntar en torno al estado de la tarjeta SIM.

Si es posible, evitar la autenticación de dos factores a través de SMS -mensaje de texto- y utilice opciones como autenticadores independientes en su lugar. Siempre cerciorarse de la destrucción segura de información confidencial impresa para evitar el intercambio de tarjetas SIM y el dumpster diving o -en otros términos- buceo en basureros.

Informar de inmediato cualquier movimiento sospechoso en una cuenta a su banco. Procurar no usar una fecha o número fácil de recordar como PIN o código de verificación; dichas claves deberían ser extensas, combinar letras, números y caracteres especiales, y no contener información personal -fechas de cumpleaños, nombres propios, por ejemplo-

Es recomendable que las cuentas de redes sociales y correo electrónico tengan activas la verificación en dos pasos, lo que agrega una capa de seguridad adicional al requerir, además de la contraseña, un código generado al azar. En nuestro país, la mayoría de las plataformas usadas admite la verificación de dos pasos.

Es que son -fundamentalmente- dos las razones por las cuales puede proliferar este tipo de delitos. En primer lugar, porque pedir un duplicado de la Tarjeta SIM es relativamente sencillo. En segundo término, porque hace tiempo que el uso de los SMS -mensajes de texto- como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

Ante este nuevo flagelo, muy pocos usuarios saben que además de la clave propia de acceso al dispositivo móvil, ya sea mediante el uso de claves alfanuméricas, patrones de desbloqueo o captura de datos biométricos -cabe pensar en finger print o identificación facial- la tarjeta SIM también puede ser protegida mediante la inserción de un pin de cuatro números.

Protección de la tarjeta SIM mediante clave de acceso

Por lo general, todas las tarjetas SIM se encuentran protegidas mediante un PIN predeterminado, pero no se usa para fines de bloqueo. Simultáneamente, la tarjeta SIM cuenta con una clave de desbloqueo de PIN que es el denominado código PUK, sigla que significa PIN Unlocked Key.

Como se puede avizorar, PIN y PUK son dos conceptos de seguridad de la tarjeta SIM que contiene cada dispositivo móvil, que se encuentran íntimamente vinculados.

Es decir, el código PIN es la primera medida de seguridad. Este es un código de cuatro a ocho dígitos que el usuario puede modificar cambiar e -inclusive- si el dispositivo móvil está configurado de esa manera, será necesario que el usuario introduzca el código PIN para desbloquearlo.

En efecto, si configuramos el dispositivo de modo tal que la tarjeta SIM requiera el ingreso de una clave cada vez que se encienda el teléfono; cualquier ciberestafador que procure insertar una SIM duplicada en su dispositivo, deberá insertar la clave que su usuario original eligió. De esta manera, no podrá ingresar y acceder a las cuentas del propietario de la tarjeta SIM maliciosamente duplicada.

Cómo cambiar el PIN de la tarjeta SIM de tu móvil

Para introducir o modificar el PIN de la tarjeta SIM de tu móvil y de ese modo blindarla contra un ataque bajo esta nueva modalidad delictiva, se requiere como primer paso acceder a las opciones de seguridad del dispositivo.

Una vez situados en la pestaña que permite seleccionar las condiciones de seguridad del dispositivo, se debe activar las opciones avanzadas; el menú desplegará la opción de bloqueo de SIM.

Una vez seleccionada dicha opción, se puede insertar o modificar el PIN de la tarjeta SIM, tan solo eligiendo un número -por lo general, de cuatro dígitos- que el usuario recuerde.

Como consejo, es muy importante no olvidar este PIN, siendo una buena idea anotarlo en un papel y dejarlo en un lugar seguro en casa.

Ante la eventualidad de que se olvidara el PIN, habrá que recurrir al código PUK -PIN Unlocked Key- que es un código de ocho dígitos utilizado para desbloquear una tarjeta SIM en la que se ha introducido tres veces el número PIN incorrectamente.

Finalmente, una última medida de seguridad que también resulta aconsejable.

La activación de doble factor de autenticación

Otra medida de seguridad imprescindible para neutralizar la constante labor de los ciberdelincuentes, clave como herramienta de prevención, tiene que ver con la activación de un segundo factor de autenticación en todas nuestras cuentas.

En efecto, una de las máximas de la seguridad informática, consiste en saber que para acceder a cualquier dispositivo en condiciones más o menos seguras, necesitamos: a) algo que sabemos -por caso, una contraseña-, b) algo que tenemos -pensemos en un token de seguridad, por ejemplo- o c) algo que somos -datos biométricos: la huella digital, la cara, el iris-. Cada uno de ellos, es un factor distinto. Para que nuestra cuenta esté a salvo, debemos contemplar la posibilidad de insertar en nuestro dispositivo al menos dos de esos tres factores de seguridad informática.

La adopción de dos contraseñas no implica que el dispositivo contenga dos factores de seguridad. Los factores se distinguen para que a los ciberdelincuentes les cueste acceder a la cuenta, ya que con nuestra contraseña solamente no podrán ingresar, puesto que deberán contar con una validación adicional desde nuestro teléfono celular; ya sea, digitar un token o bien, insertar nuestra huella digital o identificarnos mediante el rostro o el iris.

Así las cosas, la doble autenticación o "2FA" al requerir una validación a través de algo que -teóricamente- solo el titular sabe, tiene o es; se erige en un importante filtro de seguridad para proteger a las cuentas de accesos no autorizados; al permitirle a un sistema operativo confirmar que una persona es la titular genuina de la cuenta a la que se está accediendo.

De lo expuesto, fácil resulta advertir que contar con un segundo factor de autenticación es otra medida de seguridad importante. Si bien el SIMswapping puede bypassear esta medida, el resto de las estafas habituales, se ven frustradas cuando algún otro factor se encuentra activo.

Por las razones señaladas y siempre que la aplicación o sistema operativo lo permita, es conveniente activar un segundo factor de autenticación a través de aplicaciones como Google Authenticator o similares y nunca elegir la opción de SMS -es decir, recibir un mensaje de texto con una clave numérica para insertar- como factor de autenticación, ya que es la opción más simple para los ciberdelincuentes cuando hacen SIMswapping.

En este atardecer e internado "En el camino" tras los últimos pasos del tango que ocultamos mejor, del que preferimos no hablar; fue acuñado este aporte, ante la mirada atónita de espectros analógicos que tienen metido hasta la ceja un triste papel, rociados por la fina estela que huele a tormenta de viejo estilo, que Sam Brady deja sutilmente tras de sí.

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.