¿Qué son los ataques de duplicado de SIM? : Stripe: ayuda y soporte

¿Qué son los ataques de duplicado de SIM?

Un ataque de duplicado de SIM manipula el proceso de transferencia de números de teléfono entre operadores y tarjetas SIM (siglas en inglés de «módulo de identidad del abonado») para desviar al atacante los mensajes de texto destinados a la víctima. Si utilizas SMS en la autenticación en dos pasos de Stripe, el atacante puede usar este método para obtener tus códigos de verificación y, por lo tanto, acceder a tu cuenta.

¿Cómo funcionan las tarjetas SIM?

A cada cliente de telefonía móvil se le emite una tarjeta SIM, que se inserta en el teléfono para identificar a ese cliente concreto. Un número de teléfono apunta a una única tarjeta SIM. Recientemente, se han incorporado las eSIM para que no haga falta tener una tarjeta física, pero ambas funcionan del mismo modo.

Tu operador de telefonía móvil puede cambiar la SIM a la que apunta un número de teléfono, lo que podrías necesitar para conservar tu número si pierdes el teléfono o si la tarjeta SIM se daña o queda inutilizable. Por lo tanto, los empleados de los operadores pueden hacer este tipo de cambio.

Además, en muchos países, la legislación exige que los clientes puedan cambiar de operador de telefonía móvil con libertad. Así se favorece una competencia sana, pero esto también implica que los operadores hacen una verificación mínima antes de permitir que un número de teléfono haga la portabilidad a otro operador, que, por supuesto, emitirá una nueva SIM.

¿Cómo funcionan los ataques de duplicado de SIM?

Hay varias formas en que se puede llevar a cabo el ataque, pero el resultado acaba siendo el mismo:

El atacante se hace pasar por ti y contacta con tu operador de telefonía móvil para avisar de que has perdido el teléfono. El atacante convence al operador de que eres tú quien está llamando y se le emite una tarjeta SIM de sustitución.
El atacante se hace pasar por ti y contacta con otro operador de telefonía móvil para explicarle que quieres cambiar a su compañía. El nuevo operador le pide al antiguo que confirme la portabilidad y el atacante lo convence, por lo que el nuevo operador le emite una tarjeta SIM.
El atacante soborna a un empleado de tu operador de telefonía móvil para que haga que tu número de teléfono apunte a su SIM.

En todos estos casos, el atacante obtiene una tarjeta SIM que recibe SMS y llamadas de tu número de teléfono, y tu teléfono deja de funcionar.

¿Cómo puedo protegerme de los ataques de duplicado de SIM?

En general, como hay terceros implicados, no hay ninguna forma de evitar estos ataques en la actualidad. La única manera de protegerte de sus consecuencias dañinas es dejar de usar mensajes de texto (SMS) en la autenticación en dos pasos.

Mientras tengas los SMS activados en la autenticación en dos pasos, tu cuenta estará en peligro. Deberías activar un método de autenticación en dos pasos alternativo, como una aplicación de autenticación o una llave de seguridad, y después desactivar los SMS.