Cuando la señal del celular de Mario Fernández falló, salió con la conocida «Maldita tecnología». Lo apagó y luego volvió a encenderlo, pero sin éxito. Cuando llegó a casa, llamó a su operador desde otro teléfono para explicar la situación.
«Me dijeron que había pedido un duplicado de mi tarjeta SIM en otra ciudad», dice Fernández, quien le pidió a EL PAÍS que usara un nombre falso. «Y les dije que ese no era el caso.» De repente sonaron las alarmas en su cabeza y comprobó su cuenta bancaria, pero se dio cuenta de que estaba bloqueada. Se puso en contacto con su banco, que confirmó que su cuenta había sido congelada tras haberse detectado una actividad inusual: faltaban varios miles de euros y se había solicitado un préstamo por otros 50.000 euros. Alguien había accedido a sus datos personales y se había embarcado en el proceso de tomar todo lo que podía.
«Podría haber sido un caso de fraude de intercambio de SIM», dice Carlos Vico, un teniente del departamento de ciberdelincuencia de la Guardia Civil, quien dice que este tipo de delito va en aumento. «No tenemos un número preciso de informes, pero cada año, hay un aumento significativo de casos.» El caso de Mario Fernández sigue siendo objeto de investigación.
Vico explica que primero el criminal típicamente se apodera de los detalles de la cuenta bancaria de la víctima. Una copia de la tarjeta SIM es necesaria para romper la autenticación de dos factores utilizada por muchos prestamistas, que envían un SMS al teléfono del cliente con un código antes de autorizar una transacción. «Los primeros casos surgieron en los Estados Unidos, pero han ido ganando terreno aquí desde 2015», dice Vico.
«El teléfono es casi siempre el segundo factor en el proceso de verificación de dos pasos», dice Carles Garrigues, profesor de informática de la Universitat Oberta de Catalunya. «Y el robo de contraseñas puede ser hecho por lo que se conoce como’phishing’ – el rey de las estafas.»
Explicando el fenómeno del phishing con más detalle, Vico dice: «Crees que te estás conectando a[el servicio de correo electrónico de Google] Gmail, pero en realidad se trata de una página diferente. La situación se agrava cuando los delincuentes consiguen introducir la contraseña en el correo electrónico de su víctima, que a menudo está vinculada a una serie de servicios».
Garrigues explica que los ciberdelincuentes también pueden acceder a los datos de sus víctimas mediante el uso de aplicaciones fraudulentas que extraen información subrepticiamente de los teléfonos inteligentes. Esto también puede hacerse mediante el uso de señales Wi-Fi falsas.
Mientras tanto, Vico recomienda tener cuidado con lo que descargamos en nuestros dispositivos, observando atentamente las condiciones y licencias. También aconseja precaución con las conexiones abiertas a Internet y nuestra elección de contraseñas, aunque admite que no existe tal cosa como la seguridad de hierro fundido.
Fernández, de 37 años, que vive en Almería, todavía no entiende completamente cómo los estafadores consiguieron una tarjeta SIM duplicada para su teléfono. Volviendo al incidente, dice que no tenía ni idea de nada inusual hasta que perdió la señal telefónica. «Cuando vi mi cuenta bancaria, tuve que ir a urgencias para conseguir algo que me calmara», dice. «El problema financiero ya está resuelto», añade. «Pero sigo sin entender cómo pudo haber sucedido.»
La copia del SIM de Fernández fue entregada a los estafadores en una tienda de Vodafone en Tarragona, a 700 kilómetros de su lugar de residencia. Fernández ha presentado una queja ante las autoridades de consumidores contra la empresa.
Vodafone afirma que siguen un protocolo estricto a la hora de entregar copias de las tarjetas SIM, y que esto sólo puede hacerse mostrando el código de acceso de cuatro dígitos del usuario al teléfono, o la tarjeta de identificación del usuario, la dirección de facturación y los cuatro últimos números de la cuenta bancaria del usuario. «No emitiremos un duplicado sin identificación», dice un portavoz de Vodafone, quien añade que la compañía no tiene registros de incidentes similares.
Vico explica que los delincuentes, que van desde estudiantes de informática hasta bandas organizadas, utilizan técnicas de ingeniería social para acceder a los datos personales de la víctima, así como ataques cibernéticos o compras realizadas en la red oscura. Pero cuando se trata de engañar al personal de las tiendas de telefonía para que emita una copia de la tarjeta SIM del usuario, a menudo se trata simplemente de persuadirles de que el original se ha perdido. Esta es la razón por la que Vico cree que la confirmación de la identificación debe implicar algo infalible como las huellas dactilares. También recomienda mantener las contraseñas en un dispositivo que no esté conectado a Internet.
Mientras tanto, Fernández acaba de comprarse un nuevo teléfono celular y ha estado ocupado cambiando todas sus contraseñas. También ha tomado la precaución de eliminar todos los datos personales que almacenaba en la nube. «Nombres, números de teléfono, números de cuenta… Me sorprendió la cantidad de información que guardamos allí», dice.
