Un ataque de duplicado de SIM manipula el proceso de transferencia de números de teléfono entre operadores y tarjetas SIM (siglas en inglés de «módulo de identidad del abonado») para desviar al atacante los mensajes de texto destinados a la víctima. Si utilizas SMS en la autenticación en dos pasos de Stripe, el atacante puede usar este método para obtener tus códigos de verificación y, por lo tanto, acceder a tu cuenta.
A cada cliente de telefonía móvil se le emite una tarjeta SIM, que se inserta en el teléfono para identificar a ese cliente concreto. Un número de teléfono apunta a una única tarjeta SIM. Recientemente, se han incorporado las eSIM para que no haga falta tener una tarjeta física, pero ambas funcionan del mismo modo.
Tu operador de telefonía móvil puede cambiar la SIM a la que apunta un número de teléfono, lo que podrías necesitar para conservar tu número si pierdes el teléfono o si la tarjeta SIM se daña o queda inutilizable. Por lo tanto, los empleados de los operadores pueden hacer este tipo de cambio.
Además, en muchos países, la legislación exige que los clientes puedan cambiar de operador de telefonía móvil con libertad. Así se favorece una competencia sana, pero esto también implica que los operadores hacen una verificación mínima antes de permitir que un número de teléfono haga la portabilidad a otro operador, que, por supuesto, emitirá una nueva SIM.
Hay varias formas en que se puede llevar a cabo el ataque, pero el resultado acaba siendo el mismo:
En todos estos casos, el atacante obtiene una tarjeta SIM que recibe SMS y llamadas de tu número de teléfono, y tu teléfono deja de funcionar.
En general, como hay terceros implicados, no hay ninguna forma de evitar estos ataques en la actualidad. La única manera de protegerte de sus consecuencias dañinas es dejar de usar mensajes de texto (SMS) en la autenticación en dos pasos.
Mientras tengas los SMS activados en la autenticación en dos pasos, tu cuenta estará en peligro. Deberías activar un método de autenticación en dos pasos alternativo, como una aplicación de autenticación o una llave de seguridad, y después desactivar los SMS.