Un ataque de intercambio de SIM manipula el proceso de transferencia de números de teléfono entre operadores de telefonía móvil y módulos de identificación de abonados (SIM) para desviar los mensajes de texto destinados a la víctima y dirigirlos al atacante. Si utilizas los SMS para la autenticación en dos pasos en Stripe, el atacante puede utilizar este método para obtener tus códigos de verificación y, así, acceder a tu cuenta.

¿Cómo funcionan las tarjetas SIM?

A cada cliente de telefonía móvil se le asigna una tarjeta SIM que se inserta en un teléfono para identificar al cliente. Básicamente, un número de teléfono posee una sola SIM. Recientemente, se introdujeron las eSIM para eliminar las tarjetas físicas, pero funcionan de la misma manera.

Tu operador de telefonía móvil puede cambiar la SIM a la que apunta un número de teléfono. Esto es necesario para que puedas conservar el mismo número de teléfono si pierdes tu equipo o si la tarjeta SIM se daña o no se puede usar. Esto también significa que los empleados de la compañía de telefonía móvil tienen el poder de hacer este cambio.

Además, en muchos países la ley exige que los clientes puedan cambiar libremente de operador de telefonía móvil. Esto fomenta una competencia sana, pero también significa que los operadores de telefonía móvil realizan una verificación mínima antes de permitir que un número de teléfono se transfiera a otro operador, que, naturalmente, emite una nueva SIM.

¿Cómo funcionan los ataques de intercambio de SIM?

Hay varias formas diferentes de realizar el ataque, pero todas llevan al mismo resultado:

1. El atacante se hace pasar por ti y se pone en contacto con tu operador de telefonía móvil para comunicarle que perdiste tu teléfono. El atacante convence al operador de la compañía de telefonía móvil de que eres tú quien llama y recibe una tarjeta SIM de reemplazo.
2. El atacante se hace pasar por ti y se pone en contacto con otro operador de telefonía móvil para comunicarle que deseas cambiar de operador. El nuevo operador solicita al antiguo operador que confirme la transferencia, y el atacante lo convence. Como consecuencia, el nuevo operador emite una tarjeta SIM.
3. Se soborna a un empleado del operador de telefonía móvil para que cambie el número de teléfono, a fin de que apunte a la tarjeta SIM del atacante.

En todos los casos, el atacante obtiene una tarjeta SIM que recibe mensajes de texto y llamadas telefónicas desde tu número de teléfono, mientras que tu teléfono existente deja de funcionar.

¿Cómo puedo protegerme de los ataques de intercambio de SIM?

En general, debido a las terceras partes implicadas, actualmente no hay forma de prevenir los ataques de intercambio de SIM. La única forma de protegerte de sus efectos dañinos es dejar de usar mensajes de texto (SMS) para la autenticación en dos pasos.

Mientras esté activada la autenticación en dos pasos mediante SMS, tu cuenta estará en riesgo. Deberías habilitar un método alternativo para la autenticación en dos pasos, como una aplicación de autenticación o una clave de seguridad de hardware, y luego desactivar los SMS.