Últimas Noticias

SIM Swapping
11
Feb

Cómo proteger a los usuarios del “SIM Swapping” utilizando biometría

El SIM Swapping es un tipo de fraude en el que se obtiene un duplicado de una tarjeta SIM asociada a una línea de teléfono sin el consentimiento de su titular y teniendo como fin suplantar la identidad del mismo y acceder a información confidencial (aplicaciones bancarias, correos electrónicos, redes sociales…).

Recientemente se han impuesto 5.82 millones en multas a varias operadoras de telecomunicaciones por duplicados fraudulentos de tarjetas SIM al considerar la Agencia Española de Protección de Datos (AEPD) que sus políticas de seguridad son insuficientes para evitar duplicados fraudulentos, lo que está impidiendo proteger adecuadamente la seguridad de sus clientes.

Estas sanciones son el resultado de un procedimiento abierto en 2019 a petición de particulares, que interpusieron su reclamación ante la Agencia de Protección de Datos. Entre las infracciones denunciadas se revelan sustracciones de hasta 17.265€ de una cuenta corriente debido a un duplicado de una tarjeta personal.

La operativa del duplicado de SIM fraudulento

La práctica más común de este método consiste en la visita presencial de los delincuentes a las tiendas físicas de los operadores. Allí presentan una denuncia policial donde consta que han sido víctimas de un robo, junto con una fotocopia del DNI con una imagen falsificada. En muchas ocasiones, consiguen engañar a los trabajadores y de esta manera obtienen un duplicado de la tarjeta SIM.

Otra vía utilizada es la llamada telefónica en la que se hacen pasar por el titular de la línea. Los delincuentes engañan a los operadores de telecomunicaciones informando al servicio de atención al cliente que les han robado el móvil y necesitan un duplicado de tarjeta. Tras un método de verificación basado en preguntas acerca de datos personales, obtienen el duplicado que se envía a la dirección que solicitan.

Un SMS no es un método seguro para verificar la identidad del usuario

Al conseguir un duplicado de nuestra SIM, los estafadores automáticamente tienen acceso, además de contactos e información almacenada en la SIM, a todas las aplicaciones y servicios que tengan el envío de un SMS como procedimiento de recuperación de clave; es decir, tendrían acceso y control de cuentas bancarias, redes sociales y cuentas de correo electrónico entre otros. Y, de la misma forma, a todas las operaciones que tengan como método de confirmación el envío de un SMS; como compras online, transferencias o solicitudes de préstamos.

¿Cuál es el origen del problema? Las operadoras de telecomunicaciones pueden estar utilizando métodos no suficientemente robustos a la hora de verificar la identidad de los usuarios para permitir un duplicado de una SIM. Además, la tendencia de las entidades bancarias a utilizar un SMS como segundo factor es un problema en sí mismo; ya que con simplemente el robo del terminal los delincuentes tendrían acceso a los SMS y, consecuentemente, a las cuentas bancarias de los usuarios.

La autenticación reforzada es una autenticación donde se exige utilizar al menos dos factores de autenticación (2FA) elegidos entre estos tres grupos:

Posesión (algo que tienes): Se trata de la forma más tradicional de acceder a un servicio que nos pertenece, y es a través de una llave o acreditación física que poseemos; como una tarjeta de débito o un mensaje a un móvil. El gran riesgo de esta vía de autenticación es la posibilidad de perder esta credencial, o de que alguien se haga pasar por nosotros simplemente por el hecho de tenerla. Como se observa en los casos de SIM Swapping “lo que tenemos” no es un factor de autenticación suficiente para evitar casos de suplantación de identidad.
Conocimiento (algo que sabes): algo que el usuario conoce, como una contraseña o código de acceso. En este caso, no se trata de algo físico que podamos perder, pero sí es un factor de autenticación muy frágil dado el riesgo de que nos olvidemos o incluso de que otra persona averigüe por diferentes métodos esa información, pudiendo suplantar nuestra identidad.
Inherencia (algo que eres): algo inherente a la persona, como su cara, voz o huella dactilar; es decir, nosotros mismos y todo aquello que nos hace únicos.

La solución al SIM Swapping: verificar la identidad real de los clientes

Las operadoras afectadas por la multa impuesta por la AEP remarcaban que, aunque parte de la responsabilidad de la seguridad recae en bancos y entidades de crédito, necesitan actualizar y reforzar sus protocolos de forma contínua para mejorarlos y optimizarlos.

Los factores biométricos (voz o cara) son la solución. Se trata de factores inherentes e incapaces de ser suplantados, lo que los hace altamente seguros. La biometría es:

Privada: la biometría pertenece a un individuo y a nadie más. No puede ser suplantada, clonada, ni interceptada.
Segura: permite pasar de la presunción a la certeza. Tenemos la seguridad de que el usuario es quien dice ser.
Voluntaria: es el usuario quien tiene la decisión de hacer uso de ella.

Por ello, ya son muchas las empresas de telecomunicaciones que han incorporado la biometría en sus procesos de alta y autenticación de clientes para aumentar la seguridad y experiencia de los mismos.

Ventocom: Alta de clientes online mediante la activación de la tarjeta SIM a través de biometría facial.
Deutsche Telekom: autenticación de clientes en 3 segundos, en cualquier idioma, con una precisión del 99% y tecnología anti-fraude.
Euskaltel: altas y bajas 100% online con tecnología de verificación de documentos y tecnología anti-spoofing para evitar casos de fraude.

VERIDAS: protégete contra el fraude

Veridas, que estará presente en TECNOSEC, es una empresa SaaS que ofrece soluciones para verificar la identidad real de las personas en el espacio digital y físico. Desde Veridas, creen que la verificación de identidad del cliente es una acción obligada, y para ello, desarrollan tecnologías propias de biometría facial, biometría de voz y para la verificación de documentos de identidad que permite verificar la identidad de las personas.

Operan globalmente desde 2017 en sectores tan exigentes como la Banca, los Seguros, las Telecomunicaciones, la Movilidad o las Administraciones Públicas.