){kind=small}
Cómo protegerse contra el fraude de intercambio de SIM con las API de red de Vonage
Tiempo de lectura: 7 minutos
Esta entrada de blog mostrará casos de uso reales de posibles ataques y soluciones de SIM Swap utilizando la herramienta Identity Insights SIM Swap Insight.
Organicé un taller sobre prevención del fraude y pedí a los asistentes que pensaran en lo que les viene a la mente cuando consideran fraude. Algunas de las palabras que se les ocurrieron fueron:
fraud examplesCuando se les pidió que hablaran de soluciones para mitigar el fraude, esto es lo que compartieron:
Fraud preventing solutionsTodas estas respuestas son válidas y espero que le inspiren. En esta entrada del blog, me gustaría explorar algunos casos de uso de fraude y cómo Identity Insights, en concreto SIM Swap Insight, puede ofrecer soluciones a sus usuarios.
Fraude por cambio de SIM es un ataque malicioso en el que los delincuentes engañan a los proveedores de telefonía móvil para que cambien el número de teléfono de la víctima a una tarjeta SIM que ellos controlan. Una vez que tienen el control de su número, pueden saltarse la autenticación de dos factores (2FA) y acceder a cuentas confidenciales, como el correo electrónico, las redes sociales y las aplicaciones bancarias.
Los atacantes recopilan suficiente información personal antes de ejecutar un intercambio de SIM para suplantar de forma convincente la identidad de la víctima ante su operador de telefonía móvil. A continuación comparto algunos de los métodos que utilizan para obtener dicha información.
He estado pendiente de las filtraciones de datos; a veces, recibo correos electrónicos de Google o de Have I Been Pwned. Sin embargo, si tenemos en cuenta a los usuarios, estos pueden verse afectados si sus datos personales o los de su empresa se ven comprometidos a través de sus teléfonos, lo que puede dar lugar a un posible robo de identidad y a graves daños para su reputación. Infracciones de este tipo pueden dar lugar a importantes pérdidas financieras y sanciones reglamentarias.
Solía jugar a un juego llamado Gunbound; pensé que estaba haciendo un buen amigo virtual dentro del juego, me hacía preguntas que parecían querer saber más sobre mí, como cuál era el nombre de mi primera mascota y el nombre de mi profesor de primaria... bueno, resulta que éstas eran mis preguntas de recuperación de contraseña, perdí el acceso a mi Account y me costó mucho recuperarla.
Estos ataques de ingeniería social pueden producirse en muchos contextos, incluidos los de SIM Swap. Los atacantes suelen utilizar la ingeniería social para hacerse pasar por las víctimas y convencer a los operadores de telefonía móvil de que emitan nuevas SIM. Estas estafas suelen comenzar con la recopilación de información personal, a menudo obtenida a través de filtraciones de datos o redes sociales, y su uso para eludir los controles de seguridad de las operadoras. Las víctimas no suelen darse cuenta hasta que pierden el servicio, por desgracia, cuando el daño ya está hecho.
Con suficiente información personal, los agresores pueden intercambiar la tarjeta SIM y explotar el número de teléfono de la víctima en una amplia gama de objetivos de alto valor.
Las redes sociales son un tema delicado. Las plataformas son el lugar donde la gente comparte su información personal, y muchas empresas también utilizan las redes sociales con fines comerciales. Si un estafador se hace con el control de un número de teléfono, puede utilizar funciones basadas en SMS para publicar en su nombre o restablecer las contraseñas de su cuenta. También pueden recibir y realizar llamadas telefónicas desde el número intercambiado por la SIM, es decir, recibir una llamada telefónica para verificar que son el "propietario" del número o de la cuenta bancaria o de redes sociales. Esto puede dañar su reputación y dar lugar a nuevas estafas o a la filtración de datos privados.
En Detectar el fraude de SIM Swap con comprobaciones de seguridad de nivel empresarialmuestro un ejemplo de una página de inicio de sesión típica de una aplicación web bancaria para el tutorial de hoy. Cuando SIM Swap Insight comprueba con los operadores de telefonía móvil si se han realizado cambios recientes en el número de teléfono de la tarjeta SIM, el usuario no puede iniciar sesión si se han producido dichos cambios. En caso contrario, podrá acceder a su Account.
He visto muchos casos de robo de criptomonedas en las noticias, y el impacto es masivo; estas víctimas han perdido demasiado dinero. Los usuarios de las bolsas de criptomonedas son especialmente vulnerables a los ataques de intercambio de SIM. Cuando los atacantes se hacen con el control del número de teléfono de un usuario, pueden saltarse la autenticación de dos factores (2FA) y robar fondos de las carteras de criptomonedas conectadas a estas plataformas. Estos ataques ponen en peligro activos digitales por valor de millones, si no miles de millones de dólares.
Recuerdo perfectamente que cuando iba a hacer el examen ENEM en Brasil se me acercó un tipo con una historia: había perdido la cartera. Iba a perder su vuelo, hablaba muy angustiado y pedía que le dejaran salir con algo de dinero. Me acompañó al banco. Hizo ver que podía confiar en él, incluso ofreciéndome su teléfono o su anillo de boda como forma de saber que cumpliría su palabra. Podía confiar en él, ese era el final de la historia. No sólo le presté mi dinero, sino que no volví a verlo; con suerte, todo esto se me pasó después del examen y no afectó a mi capacidad para concentrarme en él ese día.
Hay muchos casos de fraude bancario e incluso de ataques SIM Swap. Estos atacantes pueden acceder al número de teléfono de la víctima, solicitar OTP (códigos de acceso de un solo uso) al banco y completar transacciones con el nombre de la víctima. Estos ataques suelen seguir pasos de verificación de identidad en línea, como en el caso de las solicitudes de empleo o los contratos de alquiler, lo que deja otra capa de exposición si los documentos se ven comprometidos.
Hay muchos objetivos, incluidos bancos, instituciones financieras, empresas fintech, bolsas de criptomonedas, proveedores de ciberseguridad, procesadores de pagos, plataformas de comercio electrónico, tiendas minoristas, departamentos de TI, agencias de venta de entradas, redes sociales y operadores móviles. La lista continúa. La integración de Identity Insights SIM Swap Insight puede proporcionar la seguridad necesaria para prevenir y mitigar estos ataques.
Para ayudar a proteger a sus usuarios del fraude por cambio de SIM, Identity Insights ofrece una valiosa función: SIM Swap Insight. Puede comprobar mediante programación si la tarjeta SIM de un número de teléfono se ha cambiado recientemente, lo que añade una capa clave de seguridad a acciones sensibles como inicios de sesión, recuperación de cuentas y transacciones financieras. Si se detecta un cambio de SIM, las organizaciones pueden activar la autenticación escalonada, bloquear el acceso o marcar la sesión para su investigación.
SIM Swap Insight comprueba si una tarjeta SIM vinculada a un número de teléfono determinado ha cambiado recientemente, y también puede devolver la fecha y hora del cambio de SIM más reciente. Puede comprobar si se ha producido un cambio de tarjeta SIM dentro de un intervalo especificado de entre 1 y 2400 horas mediante la opción periodo .
La API Identity Insights está disponible a través de un único punto final que acepta todas las solicitudes de información:
POST /identidad-insights/v1/peticiones
La API está disponible en varios puntos finales regionales para cumplir los requisitos de residencia de los datos:
Punto final | Región |
https://api-eu.vonage.com/identity-insights/v1/requests | UE |
https://api-us.vonage.com/identity-insights/v1/requests | US |
La respuesta incluye un valor is_swapped que indica si se ha producido un intercambio en el periodo definido, así como un valor de tipo latest_sim_swap_at que indica cuándo se produjo el intercambio más reciente.
Los malhechores seguirán desarrollando nuevos métodos de fraude; confiar únicamente en la autenticación basada en SMS ya no es suficiente. Eche un vistazo a Perspectivas de identidad y encuentre soluciones para mitigar el fraude.
¿Tienes alguna pregunta o algo que compartir? Únete a la conversación en Slack de la comunidad de Vonagey mantente actualizado con el Boletín para desarrolladoressíguenos en X (antes Twitter)suscríbete a nuestro canal de YouTube para ver tutoriales en video, y sigue la página de página para desarrolladores de Vonage en LinkedInun espacio para que los desarrolladores aprendan y se conecten con la comunidad. Mantente conectado, comparte tu progreso y entérate de las últimas noticias, consejos y eventos para desarrolladores.