Un ataque de duplicado de SIM manipula el proceso de transferencia de números de teléfono entre operadores de telefonía móvil y módulos de identificación de suscriptores (SIM) para desviar los mensajes de texto destinados a la víctima y dirigirlos al atacante. Si utilizas los SMS como parte de la autenticación en dos pasos en Stripe, el atacante puede utilizar este método para obtener tus códigos de verificación y, así, acceder a tu cuenta.

¿Cómo funcionan las tarjetas SIM?

A cada cliente de telefonía móvil se le asigna una tarjeta SIM que se inserta en un teléfono para identificar al cliente. Básicamente, un número de teléfono se asocia a una sola SIM. Recientemente, se introdujeron las eSIM para eliminar las tarjetas físicas, pero funcionan de la misma manera.

Tu operador de telefonía móvil puede cambiar la SIM a la que está asociado un número de teléfono. Esto es necesario para que puedas conservar el mismo número de teléfono si pierdes tu teléfono o si la tarjeta SIM se daña o no se puede usar. También implica que los empleados de la compañía de telefonía móvil tienen la capacidad de hacer este cambio.

Además, en muchos países la ley exige que los clientes puedan cambiar libremente de operador de telefonía móvil. De este modo, se fomenta una competencia sana, pero también implica que los operadores de telefonía móvil realizan una verificación mínima antes de permitir que un número de teléfono se transfiera a otro operador, que, naturalmente, emite una nueva SIM.

¿Cómo funcionan los ataques de duplicado de SIM?

Hay varias formas diferentes de realizar el ataque, pero todas llevan al mismo resultado:

1. el atacante se hace pasar por ti y se comunica con tu operador de telefonía móvil para comunicarle que has perdido el teléfono; el atacante convence al operador de la compañía de telefonía móvil de que eres tú quien llama y recibe una tarjeta SIM de reemplazo;
2. el atacante se hace pasar por ti y se pone en contacto con otro operador de telefonía móvil para comunicarle que deseas cambiar de operador; el nuevo operador solicita al antiguo operador que confirme la transferencia y el atacante le convence, lo que da lugar a que el nuevo operador emita una tarjeta SIM; o bien
3. el atacante soborna a un empleado del operador de telefonía móvil para que cambie el número de teléfono y se asocie a la tarjeta SIM del atacante.

En todos los casos, el atacante obtiene una tarjeta SIM que recibe mensajes de texto y llamadas telefónicas desde tu número de teléfono, mientras que tu teléfono existente deja de funcionar.

¿Cómo puedo protegerme de los ataques de duplicado de SIM?

En general, debido a las terceras partes implicadas, actualmente no hay forma de prevenir los ataques de duplicado de SIM. La única forma de protegerte de sus efectos dañinos es dejar de usar mensajes de texto (SMS) como parte de la autenticación en dos pasos.

Mientras esté activada la autenticación en dos pasos mediante SMS, tu cuenta estará en riesgo. Deberías habilitar un método alternativo para la autenticación en dos pasos, como una aplicación de autenticación o una clave de seguridad de hardware, y luego desactivar los SMS.