Skip to content

Es el momento de reevaluar tu cobertura de Medicare: Revisa esta guía sobre el período de inscripción abierta.

 

Cómo proteger tu información y tu teléfono de las estafas de duplicación de SIM

No dejes que pirateen tu celular, tus datos personales ni tus contraseñas.

Persona sostiene la tarjeta SIM de un teléfono móvil

Vitalii Petrushenko/Getty Images

In English 

La auxiliar de vuelo Eunice Lockett Thomas no entendía por qué se le denegó la tarjeta de débito Chase cuando intentó pagar la cuenta en una cena cuando estaba de vacaciones en Hilton Head, Carolina del Sur.

Las hermanas de Thomas, también presentes en la cena, quisieron pagar una parte de la cuenta. Así que enviaron dinero a Thomas a través de Cash App, una aplicación de transferencia de pagos que Thomas tenía instalada en su iPhone 11 y que funciona como una tarjeta de débito para transacciones de pequeña cuantía.

"Cuando estábamos ahí sentadas, podía ver las transacciones de Cash App, pero no podía hacer nada con ellas", dice Thomas, de 72 años. "No tenía ningún control sobre mi teléfono. No podía hacer ni recibir llamadas. Solo podía ver más o menos lo que estaba pasando".

Esta situación duró dos días más, hasta que Thomas volvió a casa en Nueva York y acudió a una sucursal de T-Mobile, el servicio de telefonía celular. Un representante de atención al cliente reemplazó la tarjeta SIM de su teléfono.

Al parecer, Thomas había sido víctima de un ataque de duplicación de SIM. Esta estafa, que ocurre con una frecuencia asombrosa, consiste en el pirateo de la tarjeta SIM —una tarjeta con chip llamada "Subscriber Identity Module" que identifica al suscriptor— que se encuentra dentro de cada teléfono celular. Esta tarjeta vincula el número telefónico y los datos de tu cuenta con la empresa de telefonía móvil.

"Podía ver las transacciones de Cash App, pero no podía hacer nada con ellas. (...) No tenía ningún control sobre mi teléfono. No podía hacer ni recibir llamadas. Solo podía ver más o menos lo que estaba pasando".

— Eunice Lockett Thomas, Nueva York

La odisea de Thomas fue de mal en peor. Se enteró de que se habían enviado solicitudes de dinero, a su nombre , a los contactos que figuraban en su cuenta de Cash App, y algunos de ellos respondieron. Además, su cuenta de Cash App fue utilizada para la compraventa de bitcoines. Thomas compartió con AARP la documentación de estas transacciones.

Después, Thomas descubrió que se habían retirado $21,916.41 de su cuenta corriente de Chase; ella insiste en que no hizo ni autorizó este retiro. Se comunicó con Chase y T-Mobile, y ambos reconocieron por escrito que se habían detectado "actividades no autorizadas" en su cuenta. Thomas presentó una denuncia ante la policía. Chase envió inicialmente una carta a Thomas en que indicó que, a raíz de su propia investigación de la denuncia, había determinado que "la o las transacciones fueron procesadas correctamente o fueron autorizadas" y que "en este momento no se realizará ningún ajuste a tu cuenta".

Después de que AARP solicitó una confirmación al respecto, un representante del banco volvió a examinar el caso. Al día siguiente, el banco llamó a Thomas para decirle que los fondos serían restituidos a su cuenta, tal como Chase confirmó con AARP. El lunes por la mañana, los fondos ya estaban en su cuenta, según Thomas.

Las tarjetas SIM contienen datos personales

Thomas asegura que no sabe cómo le piratearon el teléfono. Algunas tarjetas SIM pueden ser retiradas de un teléfono y colocadas en otro —es decir, existe el riesgo de un robo físico—, aunque eso no fue lo que le sucedió a Thomas.

Además, no todas las tarjetas SIM son compatibles con cualquier dispositivo. Las tarjetas eSIM, que son más nuevas, están integradas en el propio hardware del dispositivo, lo que en algunos casos permite tener dos líneas distintas en un solo teléfono.

En todo caso, según la Comisión Federal de Comunicaciones, la estafa típicamente ocurre así: un estafador, haciéndose pasar por ti, convence a tu servicio de telefonía celular de expedir un reemplazo de la tarjeta SIM o de trasladar tu número telefónico desde otro servicio. A veces el estafador afirma que se le perdió o dañó su tarjeta actual. Y puede ser bastante convincente con esta mentira, después de haber recopilado tus datos personales por medio de filtraciones, ataques de suplantación de identidad (phishing), ingeniería social, redes sociales y registros públicos de fácil acceso en internet.

Una vez pirateada tu tarjeta SIM, las llamadas, los mensajes de texto y otros datos que recibirías normalmente son desviados al dispositivo del impostor. Entre esos mensajes de texto podrían figurar aquellos en que se te envía un código de autenticación de múltiples factores —y de uso único—, el cual supuestamente ofrece una protección adicional, más allá de una contraseña. Sin embargo, este código puede permitirle a un ladrón modificar o acceder a tus cuentas de correo electrónico, tus páginas de redes sociales, tus registros financieros o tus cuentas bancarias.

'Pierdes por completo el acceso a tu teléfono'

"La duplicación de SIM constituye una verdadera amenaza", afirma Eva Velasquez, presidenta y directora ejecutiva de Identity Theft Resources Center, una entidad con sede en San Diego que informa a los consumidores sobre los riesgos del robo de identidad y ofrece recursos gratuitos a las víctimas de estas estafas. "Es una táctica que puede usarse para robar la identidad, y las consecuencias pueden ser devastadoras. Si pierdes por completo el acceso a tu teléfono, sabrás que se te ha duplicado la tarjeta SIM".

En un estudio publicado a principios del 2020, un grupo de investigadores de Princeton University puso a prueba los mecanismos de autenticación que usan las empresas AT&T, T-Mobile, Tracfone, US Mobile y Verizon Wireless para duplicaciones legítimas de tarjetas SIM. Los investigadores abrieron 50 cuentas de prepago —10 de cada servicio— y luego llamaron para solicitar una duplicación de SIM para cada cuenta. El principal hallazgo fue: las medidas de autenticación empleadas por cada uno de las cinco empresas eran inseguras y fáciles de burlar.

Las empresas de telefonía están en vías de reforzar sus procedimientos internos para combatir este delito, según afirma CTIA, una asociación empresarial del sector de comunicaciones inalámbricas cuyo nombre, antes del 2004, era la Cellular Telecommunications Industry Association. Por ejemplo, se prevé que los servicios permitirán a los usuarios congelar su cuenta o restringir el acceso a esta, colaborarán con las autoridades policiales y capacitarán a sus empleados para que estén atentos a posibles casos de fraude.

Algunos servicios solo permiten hacer cambios en persona

En algunos casos, la empresa de telefonía podrá restringir las cuentas de tal forma que los clientes que quieran hacer cambios tendrán que acudir a una sucursal y presentar una identificación expedida por el Gobierno. Así lo señala Kevin Lee, candidato de doctorado en Informática y coautor del informe de Princeton University. 

Según T-Mobile, sus clientes deben establecer un número de identificación personal (PIN) de 6 a 15 dígitos, y el número telefónico no podrá trasladarse sin verificar el PIN. T-Mobile también ofrece una protección extra denominada "Account Takeover Protection", que impide a los usuarios no autorizados trasladar tus líneas telefónicas a otro servicio inalámbrico. Asimismo, AT&T permite crear una contraseña única que tendrás que presentar antes de hacer cambios a tu cuenta, entre esos las solicitudes de traslado iniciadas por otras empresas de telefonía.

Cash App, una aplicación propiedad de Square Inc. —la cual no es un banco—, estrenó recientemente un mecanismo basado en la inteligencia artificial que, según la empresa, detecta mensajes posiblemente indeseados o fraudulentos en que se solicitan pagos por medio de la aplicación.


Recibe contenido similar, suscríbete a nuestro Boletín


Pero tú, como consumidor inteligente, puedes tomar tus propias medidas para minimizar el riesgo. Los expertos recomiendan lo siguiente.

No reveles tus datos personales

• No respondas a llamadas, correos electrónicos o mensajes de texto en que se te pida información personal. Si recibes este tipo de solicitud de que reveles tus datos personales o los de tus cuentas, comunícate directamente con la empresa, usando un número telefónico o un sitio web que sepas que es auténtico.

• Usa la autenticación de múltiples factores. Como se mencionó anteriormente, la autenticación de dos factores (2FA) será inútil si el código para verificar tu identidad se envía al teléfono del estafador y este ya conoce tu contraseña.

Sin embargo, "una reacción natural tal vez sea apagar por completo la 2FA, lo cual es aún más peligroso", dice Lee. Esta barrera adicional de protección "se suma a la necesidad de usar el nombre de usuario y contraseña para acceder a tu cuenta, lo cual podría hacerla más difícil de piratear. A fin de cuentas, la 2FA sigue siendo mejor que nada".

David Strom, de la empresa de seguridad digital Avast, figura entre los expertos que recomiendan cambiar el segundo factor de autenticación: en vez de los mensajes de texto SMS, opta por una aplicación de autenticación como Authy o Google Authenticator. Además, Strom menciona una aplicación móvil llamada Zenkey, disponible en Google Play Store y en Apple App Store, que es fruto de una colaboración entre AT&T, T-Mobile y Verizon. Tendrás que obtener la versión de Zenkey vinculada a tu operador de telefonía móvil.

Protege tu teléfono y tu tarjeta SIM

• Protege el dispositivo físico. Aprovecha las opciones de reconocimiento facial o de escaneo de huella dactilar —las cuales se ofrecen en la mayoría de los teléfonos inteligentes actuales, según Velasquez—, además de un número PIN.

• Protege la tarjeta SIM física. Puedes proteger tu tarjeta SIM con un número PIN que tendrás que introducir cada vez que reinicies el dispositivo o retires la SIM. Se puede crear este PIN desde las configuraciones del dispositivo iPhone o Android.

• Ten cuidado con lo que publiques en internet. Es decir, evita revelar la información que típicamente se pide con las preguntas de seguridad, como las fechas de nacimiento, el nombre de tu mascota, el nombre de tu mejor amigo o la mascota deportiva de tu escuela secundaria.

Mantén limpio tu buzón de correos electrónicosBorra los mensajes que no tengan que permanecer en el buzón, entre estos los que contienen contraseñas, números PIN, números de Seguro Social  y estados de cuenta, para no revelar estos datos en caso de que alguien piratee tu dispositivo.

No des el número de tu teléfono móvil, solo el de tu línea telefónica fija

• No des el número de tu teléfono móvil cuando no sea necesario. AT&T recomienda usar el número de tu línea telefónica fija para las transacciones en la tintorería, el supermercado y otros negocios. No incluyas tu número de teléfono en tus páginas de redes sociales ni en la firma de tus correos electrónicos, a menos que sea por motivos profesionales.

Además, puedes obtener un número telefónico gratuito para poder dárselo a las empresas o personas que no quieras que tengan tu número verdadero —pero aun así, tu teléfono sonará cuando llamen—. Este número "desechable" puede proteger tu privacidad y, si quieres cambiarlo posteriormente, lo podrás desechar fácilmente.

• Denuncia cualquier actividad sospechosa. Si notas algo fuera de lo común, comunícate de inmediato con el servicio de telefonía móvil, el banco y la emisora de la tarjeta de crédito para confirmar que no se haya modificado las credenciales de tus cuentas. Puede ser recomendable denunciar el robo de identidad ante la Comisión Federal de Comercio.

En la carta en que T-Mobile reconoció que el teléfono de Thomas había sido interferido, la empresa le ofreció otro buen consejo: trata de activar una alerta de fraude con cualquiera de las tres principales agencias de crédito —Equifax, Experian o TransUnion—, y así los acreedores se comunicarán contigo antes de abrir una nueva cuenta a tu nombre.

Edward C. Baig es un redactor que colabora con artículos sobre tecnología y otros temas del consumidor. Anteriormente trabajó para USA Today, BusinessWeek, U.S. News & World Report y Fortune; es autor de Macs for Dummies y coautor de iPhone for Dummies y iPad for Dummies.

La Red contra el Fraude, de AARP, puede ayudarte a identificar y evitar las estafas. Inscríbete para recibir nuestras Alertas de vigilancia, consulta nuestro mapa de rastreo de estafas (en inglés) o llama gratis a nuestra línea de ayuda especializada en fraudes al 877-908-3360 si tú o un familiar sospechan que han sido víctimas de una estafa.

Nota: Estamos en proceso de reemplazar nuestro servicio de comentarios para usuarios. De este modo, es posible que los comentarios previos tomen algunos días en aparecer. Inicia sesión o regístrate gratis con AARP.org para compartir tus comentarios.