Cuando perdemos el teléfono móvil o nos lo roban, el menor de nuestros problemas puede ser habernos quedado sin ese dispositivo, por muy caro que fuera. Para muestra... las cloacas del Estado. Sin embargo, no hace falta siquiera que nos roben el teléfono para que nos compliquen la vida. ¿Qué pasa cuando secuestran nuestra SIM?

En muchos países, cuando se sufre la pérdida del móvil, lo primero que se hace es bloquear la SIM con el operador y, una vez que se dispone del IMEI, bloquear el teléfono. Hasta ahí todo bien. El siguiente paso es hacerse con otro teléfono móvil y que el operador facilite otra tarjeta SIM para poder seguir operando con el mismo número. Este proceso utiliza muchas veces un sistema de autenticación/verificación de dos factores, donde el segundo de ellos es un SMS o una llamada telefónica con la que se transfiere el número de teléfono a la nueva SIM.

¿Qué hacen los ciberdelincuentes? Antes de dar el toque de gracia, realizan toda una labor de ingeniería social, haciéndose con información personal de la víctima, recurriendo en algunos casos, incluso, a técnicas de phising. Recopilados todos estos datos, lo único que se necesita para iniciar el fraude es el número de teléfono de la víctima, algo que no resulta tan complicado de conseguir. Es entonces cuando los ciberdelincuentes llaman a la operadora de móvil de la víctima, haciéndose pasar por ella, solicitando que transfieran el número de teléfono a una nueva SIM. ¿El motivo? Una pérdida o un robo, por ejemplo.

Activado el número de teléfono en una nueva tarjeta SIM, la de la víctima se bloquea, de manera que pierde la conexión a la red. Esa debería ser la primera señal de alerta para una víctima: que pierda toda la cobertura en lugares donde habitualmente es muy fuerte.

¿Quién recibe ahora todas las llamadas, mensajes y correos electrónicos? Lo han adivinado, el delincuente, que hará uso de todos los servicios que dependan de SMS o de autenticaciones a través de llamadas telefónicas. Información que a veces se solicita en los procesos de verificación de determinados servicios son sencillos de recopilar navegando por redes sociales, desde fecha de nacimiento, a nombre de la mascota o el colegio en el que se cursaron estudios.

La rapidez lo es todo porque, dada la dependencia que se ha generado en torno al móvil, la víctima no tardará en activar todos los mecanismos necesarios para averiguar qué le sucede a su dispositivo. Es cuestión de muy poco tiempo que la operadora le cuente que se ha denunciado la pérdida del teléfono y se ha transferido el número a otra tarjeta SIM. Así pues, una de las primeras cosas que hacen los criminales cuando han transferido nuestro número a su SIM, además de recurrir a las apps de bancos y fintech, es instalar WhatsApp y descargar todos los chat y contactos. A partir de ahí, comienza el envío de mensajes pidiendo dinero por encontrarse en alguna situación complicada o de emergencia o, en algunos casos, incluso se fingen secuestros.

Asimismo, abierta esa brecha es posible acceder a su correo electrónico con todo lo que ello conlleva. Es el lado perverso de hacer uso intensivo de tantas apps en nuestro móvil, desde las aplicaciones bancarias y financieras, a las de trabajo, reservas, etc. En algunos países, como sucede en África, el movimiento de capital a través de los teléfonos móviles puede llegar a representar cerca del 50% del PIB nacional. Una estafa en estos casos puede ser muy tentadora para los delincuentes.

Países como Brasil o Mozambique han sufrido oleadas masivas de fraude por intercambio de SIM. El caso del país africano fue tan extremo –el banco más grande registró una media de 17 casos al mes de casos-, que incluso algunos medios de comunicación cuestionaron la integridad de las entidades bancarias, llegando a plantear su involucración en el delito. Por su parte, Brasil asistió a cómo los ataques alcanzaban a políticos, ministros y empresarios de alto nivel.

La buena noticia es que hay soluciones. En Mozambique, por ejemplo, bancos y operadoras se sentaron a la mesa y colaboraron en el diseño de un antídoto para esta plaga de fraudes. Las operadoras de telefonía pusieron a disposición de las entidades una plataforma vía API a través de la cual son informadas automáticamente de si la cuenta bancaria que ha solicitado una transferencia de dinero ha pedido recientemente un intercambio de SIM. De ser así, se bloquea cualquier transacción en un periodo de 48-72 horas, que es tiempo más que suficiente para que la víctima resuelva el entuerto. En los casos en los que el dueño legítimo del teléfono haya sido quien ha cambiado la SIM, la verificación podría realizarse en persona en una sucursal. El futuro hace pensar que las verificaciones biométricas a través del mismo dispositivo móvil serán la clave para acabar con este tipo de delitos.