C¨®mo protegerse del robo de identidad m¨®vil, una de las m¨¢s peligrosas amenazas

Eran las once y media de la noche del lunes y Matt Miller fue despertado s¨²bitamente por su hija: ¡°Pap¨¢, creo que te han hackeado Twitter¡±. Este susto fue el pistoletazo de salida y solo la punta del iceberg de una angustiosa situaci¨®n que deriv¨® con la cuenta de su banco bloqueada, un cargo de 25.000 d¨®lares no reconocido y toda su vida virtual en manos ajenas. Este bloguero detall¨® punto por punto su drama en un art¨ªculo publicado en ZDNET y titulado?Historia de horror SIM Swap: he perdido d¨¦cadas de documentos y Google no mueve un dedo. Miller hab¨ªa sido v¨ªctima de un fen¨®meno cada m¨¢s habitual y que ya ha traspasado nuestras fronteras: el SIM swapping.

?En qu¨¦ consiste exactamente? El peligro real de esta t¨¦cnica reside en que explota un punto d¨¦bil en un poderoso sistema de protecci¨®n de identidad: la verificaci¨®n en dos pasos. Y tiene lugar de esta manera: los hackers se hacen con el n¨²mero de m¨®vil de la v¨ªctima e identifican al operador que les da servicio; hecho esto, se ponen en contacto con este operador haci¨¦ndose pasar por el titular de la l¨ªnea (en este punto, evidentemente conocen m¨¢s datos del afectado, como su DNI, posiblemente cuenta bancaria, etc¨¦tera) y con esta informaci¨®n explican que han perdido su m¨®vil y desean un duplicado de la SIM. Una vez en su poder, los hackers acceden a los principales servicios de la v¨ªctima pulsando sobre ¡°he olvidado la contrase?a¡± y recibiendo los c¨®digos de verificaci¨®n en la l¨ªnea ¡®robada¡¯. A partir de ah¨ª es una bola de nieve que no para de crecer y el tiempo de reacci¨®n de la v¨ªctima resulta determinante.

Tambi¨¦n en Espa?a

El SIM swapping deja en evidencia la fragilidad del que es, hoy por hoy, el sistema de seguridad m¨¢s eficaz: la verificaci¨®n en dos pasos, consistente en la utilizaci¨®n de un dispositivo adicional (por lo general, el m¨®vil) en el que se recibe un c¨®digo temporal (o token) que acredita la identidad del usuario. En Espa?a este fen¨®meno es menos habitual que en Estados Unidos, pero comienzan a darse casos, aunque todo parece indicar que son m¨¢s aislados. Desde Vodafone explican a EL PA?S que las posibilidades de que suceda en su red son, salvo alg¨²n error en la cadena, inexistentes: en el caso de solicitud de un duplicado de SIM ¡°se remite al cliente siempre a canales presenciales (tienda) y tiene que ir el titular siempre con el nif/nie original y la tienda se quedar¨¢ con una fotocopia del mismo¡±. "En el caso de que el cliente no quiera o pueda ir a tienda, se le solicita DNI o clave de 4 d¨ªgitos (que haya elegido con anterioridad previamente) y se comprueba que no haya ning¨²n cambio de datos reciente¡±, a?aden.

El peligro real de esta t¨¦cnica reside en que explota un punto d¨¦bil en un poderoso sistema de protecci¨®n de identidad: la verificaci¨®n en dos pasos

Si un bloguero experto en tecnolog¨ªa como es el caso de este columnista de ZDNET ha padecido en carne propia este robo de identidad, ?c¨®mo puede protegerse el com¨²n de los mortales? De este suceso cada vez m¨¢s frecuente se confirma que la recepci¨®n de un SMS es un sistema cada vez menos fiable, y hay que activar, en aquellos servicios que lo soporten, la verificaci¨®n en dos factores que evita el uso de mensajes de texto y en su lugar emplea otros dispositivos del usuario para generar c¨®digos temporales. En el caso de Apple, si uno tiene un iPhone, podr¨¢ emplear el iPad como soporte para activar el primero y viceversa.

Pero todav¨ªa puede incrementarse m¨¢s la seguridad empleando dispositivos f¨ªsicos para verificar la identidad del usuario, como es el caso de Yubikey y similares: para acceder a un servicio en un equipo no reconocido, ser¨¢ necesario introducir este?pendrive e identificar al usuario de forma biom¨¦trica. Se trata, hoy por hoy, del mayor nivel de protecci¨®n que puede alcanzarse.