jueves, 7 julio 2022

Cómo protegerse del ‘SIM Swapping’ a través de la biometría

El autor propone la verificación a través de la biometría, en lugar de SMS, para solicitar un duplicado de tarjeta SIM. A su juicio, este último método "no es suficientemente robusto" y podría suponer "un problema en sí mismo, ya que con el robo del terminal los delincuentes tendrían acceso a los mensajes de texto y, consecuentemente, a las cuentas bancarias de los usuarios". Su advertencia llega después de que la Agencia Española de Protección de Datos (AEPD) constatara, entre distintas infracciones denunciadas, sustracciones de hasta 17.265 euros de cuentas corrientes.

Redacción
Pamplona - 10 febrero, 2022

Miguel Zarraluqui.

Recientemente se han impuesto 5,82 millones de euros en multas a varias operadoras de telecomunicaciones por duplicados fraudulentos de tarjetas SIM. La Agencia Española de Protección de Datos (AEPD) considera que sus políticas de seguridad son insuficientes para evitar duplicados fraudulentos, lo que está impidiendo proteger adecuadamente la seguridad de sus clientes. La biometría es una solución real para proteger a los usuarios y evitar el ‘SIM Swapping’.

El SIM Swapping o “duplicado fraudulento” es un tipo de fraude por el que se obtiene una reproducción de una tarjeta SIM asociada a una línea de teléfono sin el consentimiento de su titular. El fin del SIM Swapping es suplantar la identidad y acceder a información confidencial, que incluye aplicaciones bancarias, correos electrónicos, redes sociales, etc.

Estas sanciones impuestas son el resultado de un procedimiento abierto en 2019 a petición de particulares, que interpusieron su reclamación ante la Agencia de Protección de Datos. Entre las infracciones denunciadas se revelan sustracciones de hasta 17.265 euros de una cuenta corriente, debido a un duplicado de una tarjeta personal.

DUPLICAR UNA SIM DE MANERA FRAUDULENTA

La práctica más común para realizar un duplicado fraudulento consiste en la visita presencial de los delincuentes a las tiendas físicas de los operadores. Allí presentan una denuncia policial donde consta que han sido víctimas de un robo, junto con una fotocopia del DNI con una imagen falsificada. En muchas ocasiones, consiguen engañar a los trabajadores y de esta manera obtienen un duplicado de la tarjeta SIM.

Otra vía utilizada es la llamada telefónica en la que se hacen pasar por el titular de la línea. Los delincuentes engañan a los operadores de telecomunicaciones informando al servicio de atención al cliente que les han robado el móvil y necesitan un duplicado de tarjeta. Tras un método de verificación basado en preguntas acerca de datos personales, obtienen el duplicado que se envía a la dirección que solicitan.

UN SMS NO ES UN MÉTODO SEGURO

Al conseguir un duplicado de nuestra SIM, los estafadores automáticamente tienen acceso, además de contactos e información almacenada en la SIM, a todas las aplicaciones y servicios que tengan el envío de un SMS como procedimiento de recuperación de clave. Es decir, tendrían acceso y control de cuentas bancarias, redes sociales y cuentas de correo electrónico entre otros. Y, de la misma forma, a todas las operaciones que tengan como método de confirmación el envío de un SMS, como compras online, transferencias o solicitudes de préstamos.

“La autenticación reforzada exige utilizar al menos dos factores de autenticación (2FA) elegidos entre estos tres grupos: posesión, conocimiento e inherencia”.

¿Cuál es el origen del problema? Las operadoras de telecomunicaciones pueden estar utilizando métodos no suficientemente robustos a la hora de verificar la identidad de los usuarios para permitir un duplicado de una SIM. Además, la tendencia de las entidades bancarias a utilizar un SMS como segundo factor es un problema en sí mismo, ya que simplemente con el robo del terminal los delincuentes tendrían acceso a los SMS y, consecuentemente, a las cuentas bancarias de los usuarios.

La autenticación reforzada es una autenticación donde se exige utilizar al menos dos factores de autenticación (2FA) elegidos entre estos tres grupos: Posesión, conocimiento e inherencia.

1. Posesión (algo que tienes): Se trata de la forma más tradicional de acceder a un servicio que nos pertenece, y es a través de una llave o acreditación física que poseemos, como una tarjeta de débito o un mensaje a un móvil. El gran riesgo de esta vía de autenticación es la posibilidad de perder esta credencial, o de que alguien se haga pasar por nosotros simplemente por el hecho de tenerla. Como se observa en los casos de SIM Swapping, “lo que tenemos” no es un factor de autenticación suficiente para evitar casos de suplantación de identidad.

2. Conocimiento (algo que sabes): algo que el usuario conoce, como una contraseña o código de acceso. En este caso, no se trata de algo físico que podamos perder, pero sí es un factor de autenticación muy frágil dado el riesgo de que nos olvidemos o incluso de que otra persona averigüe por diferentes métodos esa información, pudiendo suplantar nuestra identidad.

3. Inherencia (algo que eres): algo inherente a la persona, como su cara, voz o huella dactilar; es decir, nosotros mismos y todo aquello que nos hace únicos.

LA SOLUCIÓN AL ‘SIM SWAPPING’

Las operadoras afectadas por la multa impuesta por la AEP remarcaban que, aunque parte de la responsabilidad de la seguridad recae en bancos y entidades de crédito, necesitan actualizar y reforzar sus protocolos de forma continua para mejorarlos y optimizarlos.

Los factores biométricos (voz o cara) son la solución. Se trata de factores inherentes e incapaces de ser suplantados, lo que los hace altamente seguros. La biometría es privada porque pertenece a un individuo y a nadie más. No puede ser suplantada, clonada, ni interceptada. Y es segura ya que permite pasar de la presunción a la realidad. Con la biometría, tenemos la seguridad de que el usuario es quien dice ser. Además es voluntaria porque es el usuario quien tiene la decisión de hacer uso de ella.

Por ello, ya son muchas las empresas de telecomunicaciones que han incorporado la biometría en sus procesos de alta y autenticación de clientes para aumentar la seguridad y experiencia de los mismos como Ventocom, Deutsche Telekom y Euskaltel. Estas empresas utilizan la biometría para dar altas de clientes online, autenticar clientes o verificar documentos con tecnología anti-spoofing que sirve para evitar casos de fraude.

En Veridas, como empresa SaaS, verificar la identidad real de las personas en el espacio digital y físico es nuestro objetivo. Creemos que la verificación de identidad del cliente es una acción obligada, y para ello, desarrollamos tecnologías propias de biometría facial, biometría de voz y para la verificación de documentos de identidad que permite certificar la identidad de las personas.

Miguel Zarraluqui
Global Product Marketing manager en Veridas

Entra aquí para leer más artículos de opinión.


To Top