La estafa “brillante y aterradora” con la que un hacker te roba tu número de teléfono... y miles de dólares

Además del molesto telemarketing, los usuarios de teléfonos móviles están expuestos diariamente a todo tipo de estafas: desde mensajes de texto, llamadas perdidas o la voz detrás de un número desconocido que promete premios, oportunidades de inversión e incluso puede exigir dinero para cobrar una deuda o rescatar a un familiar presuntamente secuestrado.

En Estados Unidos, estas estafas son un problema serio. Un informe publicado en enero por TrueCaller, aplicación para bloquear las llamadas de spam, estima que los estadounidenses perdieron US$ 40 mil millones en 2022 por “phishing”, una técnica con la que los hackers suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario.

Como si fuera poco, lo más probable es que en 2023 las pérdidas sean aún mayores. Robert Falzon, jefe de ingeniería de Checkpoint Security, una empresa internacional de ciberseguridad con ubicaciones en más de 10 países, dijo a la filial de ABC en Denver que este “va a ser el año en el que veremos muchas de estas”. “Apenas es enero y estoy respondiendo llamadas como un loco”.

SIM swapping: una identificación falsa y “un poco de descaro”

Avery Hartmans, una periodista senior de Business Insider radicada en Brooklyn, perdió cerca de US$ 10.000 en una estafa que consideró “tan brillante como aterradora”, y que podría verse como una modalidad del “phishing”: “SIM swapping”.

Con esta técnica, el estafador no se comunica con la víctima, sino que roba su identidad e intenta convencer al empleado de su compañía telefónica de que necesita otra tarjeta SIM. “Revisé mis notificaciones, tenía dos alertas de Verizon. Ambos contenían códigos de autorización, el tipo de medida de seguridad que toman cuando realiza cambios en tu cuenta”, narró Hartmans.

También recibió una factura de Verizon por $0 y un mensaje con el que la compañía le agradecía por “activar su nuevo dispositivo”. “Inmediatamente, revisé mi cuenta de Verizon, pero nada parecía estar mal. Parecía un problema técnico”, dijo. A la mañana siguiente, sin embargo, notó que no tenía cobertura.

En un intercambio de SIM, el pirata informático no necesita robar físicamente tu tarjeta SIM, simplemente pretende ser tú y persuade a un empleado de tu proveedor de telecomunicaciones para que active una nueva tarjeta SIM. Una vez que eso sucede, su teléfono pierde el servicio de inmediato y el hacker ahora puede usar tu número para causar estragos, como interceptar mensajes de texto del banco o restablecer tus contraseñas para bloquear el acceso a tus propias cuentas.

Ocurre desde 2018, aproximadamente, pero ahora los expertos dicen que se ha vuelto más generalizado y mucho más organizado. En 2021, según el FBI, los “SIM swapping” robaron más de US$ 68 millones. “Se podría pensar en estas personas como pequeños ladrones”, dijo a Insider Allison Nixon, directora de investigación de la Unidad 221b, una empresa de seguridad cibernética. “Pero después de 2018, estos ladrones de poca monta se hicieron millonarios”.

Verizon explicó a Hartmans que el hacker apareció en una de sus sucursales en Columbus, Ohio, fingiendo ser ella, con una identificación falsa. Le dijo a un empleado de la tienda que su teléfono estaba roto y pidió activar un iPhone antiguo.

“Me sorprendió la facilidad con la que alguien podía robar mi teléfono; seguramente debe haber sido un gran error por parte del empleado de la tienda. Pero cuando hablé con los altos mandos de Verizon, me explicaron que, en realidad, el proceso de activación del dispositivo había funcionado exactamente como se suponía”.

En resumidas, todo lo que el hacker necesitaba era un conocimiento de esta brecha en la seguridad de Verizon, una pieza de plástico falsa y “un poco de descaro”, ironizó Hartmans.

Fue solo el comienzo

“Verizon desactivó de inmediato el teléfono que pertenecía al hacker y restableció el mío. Pero el empleado con el que hablé me advirtió que esto probablemente era solo el comienzo de la estafa. Resultó que tenía razón”.

Una vez que el hacker tuvo control del número de teléfono, ingresó a una tienda Apple cercana y usó la tarjeta de crédito Chase de Hartmans para gastar US$ 6.370. Luego se dirigió a un centro comercial y compró US$ 2.956 en artículos Gucci.

“Terminaron en una tienda de ropa llamada Psycho Bunny, donde gastaron alrededor de US$ 452. En total, acumularon casi US$ 10.000 en compras con mi tarjeta en solo unas pocas horas”.

También te puede interesar:

• La estafa de US$200.000 que dejó en la calle a una maestra jubilada y su hija

• Cuatro errores más graves que seguimos cometiendo en Internet y nos ponen en riesgo

• Advertencia de Google: cuidado con estos 5 correos electrónicos

“Cuando revisé mis mensajes me di cuenta de lo que estaba haciendo”

El hacker que estafó a Hartmans nunca inició sesión en su cuenta de Chase Bank o en sus redes sociales, solo acumuló cargos en su tarjeta. “No podía entender por qué necesitaban mi número de teléfono en primer lugar, pero cuando revisé mis mensajes me di cuenta de lo que estaba haciendo”.

“Chase, consciente de que normalmente no gasto US$ 10.000 en una sola tarde, enviaba alertas de fraude por mensaje de texto cada vez que el hacker intentaba hacer una compra importante. Cuando llegaba una alerta de fraude, usaban mi teléfono para responder, lo que permitía que se procesaran los cargos”, explicó.

Pero había algo más que no le cuadraba a Hartmans. ¿Cómo hizo el hacker tantas compras con su tarjeta en tiendas físicas si nunca inició sesión en iCloud para configurar Apple Pay? Ni Gucci ni Apple tenían la respuesta.

Afortunadamente, el equipo de la última tienda, Psycho Bunny, decidió revisar las cámaras de seguridad del día de la compra. “La persona que estoy mirando aquí es básicamente exactamente lo opuesto a ti”, le dijeron a la periodista de Insider.

Era una mujer que llevaba puesto un sombrero y un cubrebocas cuando hizo la compra, para la cual usó una tarjeta de crédito física. Ahora la cuestión para Hartmans era cómo esa mujer había logrado acceder a su tarjeta de crédito si los chips de cada una son únicos.

Además de comunicarse a través de llamadas con el banco para que le aprobaran las compras, la mujer logró hacerse con la nueva tarjeta de crédito que Chase emitió para Hartmans, porque la suya estaba a punto de vencer.

“Aquí está la cosa”, le dijo a los investigadores. “Nunca recibí una tarjeta con una nueva fecha de vencimiento”.

El esquema del Servicio Postal

Chase es el emisor de tarjetas de crédito más grande de los Estados Unidos, de ahí que cuenta con estrictos protocolos de seguridad que hacen que sea prácticamente imposible que las tarjetas sean robadas entre el momento en que se producen y cuando ingresan al Servicio Postal.

Suzanne Lynch, directora del programa de delitos financieros de la Universidad de Utica, dijo que sacar tarjetas del correo se ha vuelto más común desde 2015, cuando la mayoría de las compañías de tarjetas de crédito comenzaron a incrustar microchips en su plástico. Ante la nueva tecnología, señaló Lynch, los ladrones simplemente modificaron su estrategia y se fueron a la “vieja escuela”: robar en vez de falsificar.

Dos meses después, Hartmans supo que los fiscales federales de Nueva York habían desarmado un esquema en los que tres trabajadores postales robaban tarjetas de crédito del correo y se las enviaban a cinco “compradores”.

En total, la pandilla robó cientos de identidades y estafó a minoristas y compañías de tarjetas de crédito por US$ 1.3 millones. “Debido a que robaron mi tarjeta del correo, tenían mi dirección, lo que facilitó la obtención de una identificación falsa para mostrársela a Verizon”, dijo Hartmans.

También te puede interesar | EN VIDEO: Los mayores estafadores piramidales de la historia