Por qué deberías proteger tu número de teléfono celular y cómo hacerlo
Suponiendo que ya hayas aprendido a limitar tu exposición en línea. Imaginemos que ya configuraste un administrador de contraseñas y habilitaste la autenticación multifactor para tus cuentas. Hay más cosas que puedes hacer para mantenerte a salvo. Puedes pensar que tu número de identificación o los números de cuenta bancaria son los números más confidenciales. Lamentablemente, con solo tu número de teléfono celular, los ciberdelincuentes pueden hacer mucho más daño con poco esfuerzo.
Sin embargo, a diferencia de tu número identificación o número de Seguro Social, es menos probable que mantengas tu número de teléfono celular en secreto; de lo contrario, ¡nadie podría contactarte! Independientemente del servicio de telecomunicaciones que estés utilizando, cada número de teléfono celular puede convertirse en un objetivo de robo.
Echaremos un vistazo a la forma más directa de protegerte. También veremos la razón por la que debemos pensarlo dos veces antes de dar nuestro número de teléfono, en línea o fuera de línea.
Un solo punto de falla – por qué necesitas proteger tu número de teléfono celular
Echemos un vistazo más de cerca de tu vida diaria con el teléfono celular
Pasamos la mayor parte de nuestro tiempo en este pequeño dispositivo; no importa si estamos esperando, en el ascensor, caminando o en el baño. Está con nosotros todo el tiempo, en cualquier momento y en cualquier lugar. No solo eso, también usamos nuestros teléfonos para facilitar nuestra vida.
Al registrarte en sitios o servicios, a menudo pueden requerir nuestro número de teléfono para tu verificación. A veces incluso lo usamos para iniciar sesión en aplicaciones y juegos directamente. Nuestro número de teléfono también es el último recurso para restablecer tus cuentas mientras se olvidan las contraseñas. No hace falta decir que también es una forma de demostrar “algo que tienes/sabes” en la autenticación multifactor.
Piensa en cada sitio y servicio en donde tengas tu número de teléfono
Con tu número de teléfono, un ciberdelincuente puede comenzar a secuestrar tus cuentas haciendo un restablecimiento de contraseña enviado a tu teléfono uno por uno. Con tu número de teléfono, pueden engañar a los sistemas automatizados, como la contestadora automática de tu banco. Pueden hacerle creer que eres tú cuando llama al servicio de atención al cliente.
Y la peor parte es que pueden usar tu número de teléfono secuestrado para ingresar a tu correo electrónico de trabajo y documentos confidenciales. Esto podría exponer a tu empleador al robo de datos a través de la ingeniería social. Es por eso que necesitas proteger tu número de teléfono.
Si alguien roba tu número de teléfono, se convierte en tí
Es más fácil de lo que piensas. Puedes pensar que implica secuestrar a las empresas de telecomunicaciones para obtener nuestra información. Desafortunadamente, los números de teléfono se pueden encontrar en cualquier lugar. Cuando digo en cualquier lugar, significa literalmente en cualquier lugar, en internet o fuera de él.
Rebobinemos nuestra memoria a hace unas semanas. ¿Algo te recuerda cuando digo la palabra “Facebook“ o “Clubhouse“? Sí, gracias a ellos, nuestros números de teléfono están más disponibles para cualquier persona, en cualquier lugar, te guste o no.
¿Cómo roba un hacker números de teléfono celular?
Los hackers a menudo encuentran que el número de teléfono celular de su objetivo se ha filtrado en línea. Pero a veces, puede ser por algo más de baja tecnología como “husmear en un contenedor de basura“. Es decir, buscar una factura de teléfono en la basura. Después de eso, llaman al proveedor telefónico de la víctima haciéndose pasar por el cliente.
Estafa de Port Out
Las “Port Out” son enormes para toda la industria de las telecomunicaciones en las que un delincuente se hace pasar por ti y cambia su número de teléfono actual a otro proveedor de telefonía celular. Es una estafa telefónica o ataque de ingeniería social común.
Este proceso se conoce como “porting (transferencia)“ y está destinado a permitirte conservar tu número de teléfono cuando te cambias a un nuevo proveedor de telefonía celular. Todos los mensajes de texto y las llamadas a tu número de teléfono se envían a su teléfono en lugar del tuyo.
Con un poco de práctica sobre los pretextos y responder algunas preguntas sencillas bastará. Por ejemplo, dónde vive una persona o tu fecha de nacimiento. Eso será suficiente para pedirle al representante de servicio al cliente que “transfiera” el número de teléfono a una nueva tarjeta SIM o un proveedor diferente.
Y eso es todo. Una vez que el número de teléfono se activa en la tarjeta SIM de un atacante, el hacker puede hacer lo que desee. Él puede enviar y recibir mensajes SMS y hacer llamadas como si fuera la persona a la que acaba de hackear. Es decir, se convierte en ti en ese momento.
Hay otra forma – con una inversión
Esto es lo que llamamos “clonación de teléfonos móviles“. Primero, el hacker usa un escáner electrónico para detectar el número de identificación electrónica de la tarjeta SIM en un teléfono cercano.
Hay diferentes tipos de escáneres y se pueden encontrar en la web oscura, entre otros lugares. Aunque los escáneres son relativamente caros y difíciles de conseguir, no es imposible. Y, el ROI es alto una vez que aseguran una forma de obtener tarjetas SIM.
Afortunadamente, la mayoría de los teléfonos tienen mecanismos de seguridad mejorados contra la clonación en la actualidad. Si un ciberdelincuente desea clonar tu tarjeta SIM, probablemente se requiera acceso físico a la tarjeta SIM. Con acceso físico a la tarjeta, la clonación es comparativamente rápida y fácil de hacer. Es especialmente fácil para aquellos en la red GSM donde el intercambio de tarjetas SIM entre teléfonos es fácil.
Una vez que el “clonador de SIM” (el ciberdelincuente que obtiene los datos en tu tarjeta SIM) tiene la siguiente información:
- El número de serie de la SIM (SSN)
- Clave de autenticación
Él puede comenzar a usar un escritor de SIM para hacer una tarjeta SIM duplicada.
Los escritores de SIM son herramientas legítimas, fáciles y económicas de adquirir. Puedes buscarlo en eBay o Amazon, cualquiera que tenga $10 o $15 de sobra puede obtener uno fácilmente. Luego, un ciberdelincuente puede colocar la tarjeta SIM duplicada en otro teléfono y usar ese teléfono para hacer llamadas y conexiones con la cuenta del propietario original del teléfono. El ciberdelincuente se convierte en ti en ese momento.
¿Qué sigue?
En la mayoría de los casos, la única señal de que ocurrió es cuando la víctima pierde repentinamente el servicio celular sin una razón clara. En ese momento, es tan simple como iniciar restablecimientos de contraseña en las cuentas asociadas con el número de teléfono hackeado: Facebook, Gmail, Twitter, Paypal … y más.
Si un ciberdelincuente obtiene el control de tu número de teléfono móvil, puede hacer que tus cuentas sean vulnerables a ataques secundarios. Esto porque algunos servicios usan SMS o una llamada telefónica para recuperar la cuenta cuando olvidas tu contraseña.
Basados en hecho reales, un ciberdelincuente puede usar tu número de teléfono secuestrado para:
- Robar todas tus criptomonedas
- Eliminar maliciosamente todos tus datos
- Hacerse cargo de tu nombre de usuario de Instagram
- Realizar phishing a través de la información de contacto en la SIM
En el peor de los casos, puede ser doloroso o casi imposible, como cualquier otro dato personal, recuperar tu número de teléfono. Y, mucho menos las cuentas que se reestablecieron. Es por eso que la mejor manera de limitar la pérdida es asegurarse de que nunca ocurra en primer lugar.
Qué puedes hacer para proteger tu número de celular
Autenticación de dos factores (2FA) para tu SIM
De manera similar a aplicar la autenticación de dos factores a las cuentas en línea, también puedes agregar un código de seguridad secundario a su cuenta de teléfono celular. Puedes llamar al servicio de atención al cliente o hacerlo en línea.
Puedes solicitar al servicio de atención al cliente, por ejemplo, que establezca una contraseña secundaria en tu cuenta. Esto te aseguraría de que solo tú puedas realizar cambios en la cuenta o transferir tu número.
Cada operador administra los códigos de seguridad secundarios de manera diferente. Es posible que tengas limitaciones en tu contraseña, código de acceso o frase de contraseña. Pero, al menos intenta que tenga más de cuatro a seis dígitos, de lo contrario, es inútil.
Asegúrate de esto:
- NO estár reutilizando un código de acceso de otra cuenta
- No usar los últimos cuatro dígitos de tu número de DNI/Seguridad Social porque es probable que ya se haya vendido en la darkweb.
Por último, el código es fácil de olvidar ya que no se usa con mucha frecuencia. Por lo tanto, asegúrate de recordar el código, ya que la tarjeta SIM se bloqueará si ingresas el PIN incorrecto tres veces consecutivas.
Revisar la 2FA basada en SMS de todas las cuentas
Puede utilizar varios otros métodos como segundo “factor” que sean más seguros que la verificación basada en mensajes de texto. Como te mencioné, proporcionar tu número de teléfono a un tercero presenta el riesgo de filtración de datos y secuestrar aún más otras cuentas. Con una pequeña inversión, puedes quitar tu número de teléfono celular como segundo factor.
Llaves de seguridad
Usar un token físico (o llave de seguridad) solo para este propósito podría ayudar, como los de Yubico llamados Yubikeys y Titan de Google. La mayoría de los proveedores de claves de seguridad ofrecen diferentes factores de forma como USB-A, USB-C, Lightning o Bluetooth. No importa cuál elijas, probablemente sea un accesorio físico con forma de memoria USB que puede caber en tu llavero.
Cuando se requiere autenticación, debes conectar la clave en un puerto USB de tu dispositivo o, si tiene un chip inalámbrico NFC, debes mantener la clave en tu teléfono habilitado para NFC. Puedes utilizar las llaves de seguridad como acceso seguro en plataformas como Google, Facebook, Dropbox, Microsoft, y otros sitios que admiten el protocolo FIDO o Y2F.
El principal problema con las claves es la compatibilidad del servicio. Otro problema sería perder o extraviar una llave de seguridad. Por ejemplo, si las personas que las pusieron en sus llaves se pierden o se las roban, es probable que se bloqueen las cuentas. Por lo tanto, cuando configures tu llave, debes configurar una segunda llave de respaldo si algo malo le sucede a la primera.
Aplicaciones de autenticación de terceros
Es posible que ya sepas cómo utilizar la autenticación de dos factores para iniciar sesión en las cuentas. Pero pueden limitarse al uso de servicios que brindan un número de teléfono o una dirección de correo electrónico. Estos utilizan algunos de estos métodos para recibir un código de seguridad que requiere conexiones activas o servicios telefónicos. Esta es una autenticación de 2 factores porque:
- El teléfono con la aplicación instalada – algo que tienes.
- El código de tiempo en la aplicación – algo que sabes. También demuestra que tienes el dispositivo en el período de tiempo.
Las aplicaciones de autenticación generan un código de tiempo para iniciar sesión en una cuenta y brindan mayor seguridad. No debes tener la preocupación adicional de privacidad de dar un número de teléfono. Además, no necesitas estar conectado a Internet para recibirlos, y no son vulnerables a ser hackeados mediante el secuestro de SIM.
Algunas cuentas te solicitan que utilices una aplicación de autenticación específica, mientras que otras te permiten elegir. Las opciones populares incluyen Google Authenticator (Android, iOS) y Microsoft Authenticator, que admite varias cuentas. También existe Authy. Authy admite una variedad de cuentas y ofrece copias de seguridad seguras en la nube.
Conclusión – aprender de los errores
Recientemente, un estafador me llamó a través de mi teléfono celular. Aunque me di cuenta de que era una estafa lo suficientemente temprano, hizo un gran daño mucho antes de que lo reconociera. El daño se hizo desde el momento en que mi número de teléfono fue robado o filtrado. Como te dije, podrías salvarte de este lío protegiendo tu número de celular.
Después de todo, aunque no quiero admitirlo, se filtraron mis datos personales. Y el tuyo probablemente también será filtrado. Cada vez es más difícil hackear las cuentas de los usuarios a medida que las plataformas se esfuerzan por lograr una mayor seguridad, pero definitivamente no es imposible. Prepárate para lo peor y, con suerte, nunca sucederá. Si realmente sucede, debes tener un plan y un respaldo, y tal vez, simplemente, tendrás que orar.