El SIM Swapping es un tipo de fraude cuya finalidad es obtener un duplicado de una tarjeta SIM asociada a una línea telefónica sin el consentimiento del titular para suplantar su identidad y acceder a información confidencial (aplicaciones bancarias, correos electrónicos, redes sociales…). Por ello, para proteger al cliente del fraude SIM Swapping, la biometría de Veridas es la gran aliada para verificar su identidad real.
Recientemente, se han impuesto 5,82 millones de euros en multas a varias operadoras de telecomunicaciones debido a los casos de duplicados fraudulentos de tarjetas SIM. Así lo ha considerado la Agencia Española de Protección de Datos (AEPD), declarando que sus políticas de seguridad son insuficientes para evitar duplicados fraudulentos e impide proteger adecuadamente la seguridad de sus clientes.
Estas sanciones son el resultado de un procedimiento abierto en 2019 a petición de particulares, que interpusieron su reclamación ante la Agencia de Protección de Datos. Entre las infracciones denunciadas, se revelan sustracciones de hasta 17.265 euros de una cuenta corriente debido a un duplicado de una tarjeta personal. Además, recientemente está creciendo la inversión en ciberseguridad por parte de las organizaciones.
¿Cómo es la operativa del duplicado de SIM fraudulento?
La práctica más común de este método consiste en la visita presencial de los delincuentes a las tiendas físicas de los operadores. Allí presentan una denuncia policial donde consta que han sido víctimas de un robo, junto con una fotocopia del DNI con una imagen falsificada. En muchas ocasiones, consiguen engañar a los trabajadores y de esta manera obtienen un duplicado de la tarjeta SIM.
Otra vía utilizada es la llamada telefónica en la que se hacen pasar por el titular de la línea. Los delincuentes engañan a los operadores de telecomunicaciones informando al servicio de atención al cliente que les han robado el móvil y necesitan un duplicado de tarjeta. Tras un método de verificación basado en preguntas acerca de datos personales, obtienen el duplicado que se envía a la dirección que solicitan.
Un SMS no es un método seguro para verificar la identidad del usuario
Al conseguir un duplicado de nuestra SIM, los estafadores automáticamente tienen acceso, además de contactos e información almacenada en la SIM, a todas las aplicaciones y servicios que tengan el envío de un SMS como procedimiento de recuperación de clave; es decir, tendrían acceso y control de cuentas bancarias, redes sociales y cuentas de correo electrónico, entre otros. Además, de la misma forma, tendrían acceso a todas las operaciones que tengan como método de confirmación el envío de un SMS; como compras online, transferencias o solicitudes de préstamos.
¿Cuál es el origen del problema? Las operadoras de telecomunicaciones pueden estar utilizando métodos no suficientemente robustos a la hora de verificar la identidad de los usuarios para permitir un duplicado de una SIM. Además, la tendencia de las entidades bancarias a utilizar un SMS como segundo factor es un problema en sí mismo; ya que con simplemente el robo del terminal los delincuentes tendrían acceso a los SMS y, consecuentemente, a las cuentas bancarias de los usuarios.
La autenticación reforzada es una autenticación donde se exige utilizar al menos dos factores de autenticación (2FA) elegidos entre estos tres grupos:
- Posesión (algo que tienes): Se trata de la forma más tradicional de acceder a un servicio que nos pertenece, que es a través de una llave o acreditación física que poseemos; como una tarjeta de débito o un mensaje a un móvil. El gran riesgo de esta vía de autenticación es la posibilidad de perder esta credencial, o de que alguien se haga pasar por nosotros simplemente por el hecho de tenerla. Como se observa en los casos a la hora de proteger al cliente del fraude SIM Swapping, “lo que tenemos” no es un factor de autenticación suficiente para evitar casos de suplantación de identidad.
- Conocimiento (algo que sabes): Algo que el usuario conoce, como una contraseña o código de acceso. En este caso, no se trata de algo físico que podamos perder, pero sí es un factor de autenticación muy frágil dado el riesgo de que nos olvidemos o incluso de que otra persona averigüe por diferentes métodos esa información, pudiendo suplantar nuestra identidad.
- Inherencia (algo que eres): Algo inherente a la persona, como su cara, voz o huella dactilar; es decir, nosotros mismos y todo aquello que nos hace únicos.
La solución al SIM Swapping: verificar la identidad real de los clientes
Las operadoras afectadas por la multa impuesta por la AEP remarcaban que, aunque parte de la responsabilidad de la seguridad recae en bancos y entidades de crédito, necesitan actualizar y reforzar sus protocolos de forma continua para mejorarlos y optimizarlos.
Los factores biométricos (voz o cara) son la solución. Se trata de factores inherentes e incapaces de ser suplantados, lo que los hace altamente seguros. La biometría es:
- Privada: La biometría pertenece a un individuo y a nadie más. No puede ser suplantada, clonada, ni interceptada.
- Segura: Permite pasar de la presunción a la certeza. Tenemos la seguridad de que el usuario es quien dice ser.
- Voluntaria: Es el usuario quien tiene la decisión de hacer uso de ella.
Por ello, ya son muchas las empresas de telecomunicaciones que han incorporado la biometría en sus procesos de alta y autenticación de clientes para aumentar la seguridad y experiencia de los mismos. Algunos ejemplos son:
- Ventocom: Alta de clientes online mediante la activación de la tarjeta SIM a través de biometría facial.
- Deutsche Telekom: Autenticación de clientes en 3 segundos, en cualquier idioma, con una precisión del 99% y tecnología anti-fraude.
- Euskaltel: Altas y bajas 100% online con tecnología de verificación de documentos y tecnología anti-spoofing para evitar casos de fraude.
VERIDAS: protégete contra el fraude
Veridas es una empresa SaaS que ofrece soluciones para verificar la identidad real de las personas en el espacio digital y físico. Desde Veridas, creemos que la verificación de identidad del cliente es una acción obligada, y para ello, desarrollamos tecnologías propias de biometría facial, biometría de voz y para la verificación de documentos de identidad que permite verificar la identidad de las personas.
Su actividad global comienza en 2017 en sectores fundamentales como la banca, los seguros, las telecomunicaciones, la movilidad y las administraciones públicas. Gracias a las herramientas que ofrece, proteger al cliente del fraude SIM Swapping mediante el uso de la biometría es posible.
