BLOG

Esto es el subtítulo de la página

SIM SWAPPING: Riesgos del SMS como factor de autenticación

Finalizadas las compras navideñas, los comercios un año más se encuentran inmersos de nuevo en el período de rebajas. Compras que este 2021, además de una fuerte presencia on line, van a estar marcadas por cambios importantes en los sistemas de pago electrónicos. Una modalidad de pago que cada vez tiene más aceptación entre los consumidores y que en el caso de España ha aumentado considerablemente durante la pandemia del coronavirus.

Para entender sus implicaciones, nos tenemos que remontar al año 2015, en el que la Unión Europa aprobó la Segunda Directiva Europea de servicios de pago (en lo sucesivo PSD2) (Payment Services Directive en inglés),  con el objetivo de aumentar la seguridad de los pagos en Europa, promover la innovación y favorecer la adaptación de los servicios bancarios a las nuevas tecnologías y que evolucionó de su antecesora PSD1 de 2007 al introducir como novedad lo que se conoce como Autenticación Reforzada de Clientes (Strong Customer Authentication o SCA en inglés). Esto implica el uso de dos factores de autenticación en operaciones bancarias que antes no lo requerían, garantizando así unas transacciones más seguras y protegidas frente al fraude.

En España Los servicios de pago están regulados mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la directiva PSD2 a nuestro ordenamiento. Aunque se han producido varios retrasos en el desarrollo de la norma, por la dilación en la transposición de la directiva a normativa española, y la demora de la Autoridad Bancaria Europea (en adelante ABE) en concretar los estándares técnicos que regulan el acceso de terceros y la autenticación reforzada, las obligaciones de autenticación y acceso de terceros entraron en vigor el 14 de septiembre de 2019. Sin embargo, ante el posible impacto negativo que podía tener la entrada en vigor de la PSD2 en el comercio electrónico, las entidades financieras han contado con un período transitorio adicional cuya duración máxima ha sido establecida por la ABE en el 31 de diciembre de 2020.

Pero ¿qué es el SCA y que implicaciones tienen en protección de datos?

La tradicional forma de acceder a los servicios online a través de unas credenciales basadas exclusivamente en usuario y contraseña, se han mostrado insuficientes, como demuestra la historia reciente con numerosos ejemplos de brechas de seguridad. Algunas han tenido como resultado la filtración de millones de credenciales y otras se han materializado por tener contraseñas demasiado sencillas.

Por ello, la seguridad que proporciona la utilización de un único factor de autenticación ha sido considerada como demasiado limitada y se ha establecido normativamente la necesidad de introducir una autenticación fuerte, es decir, una autenticación basada en al menos dos factores de los siguientes: algo que se sabe (conocimiento), algo que se tiene (posesión) y algo que se es (inherencia). Factores que son independientes, en el sentido de que la violación de uno no compromete la fiabilidad de los demás, y está diseñado de tal manera que protege la confidencialidad de los datos de autenticación.

Con este objetivo la PSD2 introduce el requisito de implementar la autenticación reforzada de clientes (SCA), y como ya explicamos en su día en un artículo anterior de nuestro blog la misma está basada en un segundo factor de autenticación que proporciona una manera robusta de identificación.

Así por ejemplo, a la tradicional combinación de usuario y contraseña, se podría añadir algo que se tiene, como por ejemplo:

  1. Un certificado digital.
  2. Un dispositivo criptográfico que genera un número único (en adelante One-Time-Password u OTP).
  3. Una línea de telefonía para recibir SMS o una app en un dispositivo móvil.
  4. Tarjeta evidenciada a través de un código QR escaneado desde un dispositivo externo.

Sin embargo, la tarjeta de coordenadas no forma parte de este conjunto de opciones ya que la Autoridad Bancaria Europea en su Dictamen de noviembre de 2019, donde se identifican los mecanismos que son válidos, las descarta, así como los detalles impresos en la propia tarjeta tipo CVV.

¿Cuáles son los riesgos desde el punto de vista de protección de datos que pueden derivarse de los métodos existentes para autenticar la identidad del pagador?

Algunos de los riesgos para la protección de datos que pueden derivarse de los métodos para autenticar la identidad del pagador, está la vulnerabilidad de los dispositivos móviles y los posibles tratamientos adicionales que se podrían producir en determinadas implementaciones.

La operativa para proporcionar un segundo factor de autenticación se ha centrado fundamentalmente en estrategias basadas en el teléfono móvil de usuario, bien mediante OTP o mediante el uso de apps.

En el caso de las OTP, viene siendo habitual que al realizar la operación financiera se envíe al número de teléfono móvil, que previamente se ha dado de alta en la cuenta, un mensaje SMS con un código (OTP) que se debe introducir en la web o app donde se esté realizando la compra o en el servicio bancario en el que se esté efectuando una transacción. De esta manera, el doble factor se consigue al conocer los datos bancarios y disponer del número de teléfono móvil donde recibir la contraseña de un solo uso.

Sin embargo, el protocolo que se utiliza para enviar los SMS denominado SS7 fue desarrollado hace más de 40 años sin tener la seguridad como uno de sus objetivos y que recientemente ha sido noticia por brechas de seguridad relacionadas con sus vulnerabilidades y en las que se alerta de operaciones bancarias realizadas por un tercero que ha tenido acceso a cuentas bancarias de forma online.

El proceso de esta brecha de seguridad es el siguiente:

  1. En primer lugar consiguen nuestro usuario y contraseña, ya sea por una brecha de seguridad sufrida en otro proveedor en el que estamos reutilizando esas credenciales o al haber sufrido un phishing en el que nos han robado esta información al haber intentado acceder a una web falsa del banco.
  2. Una vez que tienen nuestro usuario y contraseña, se dirigen a la operadora telefónica suplantando nuestra identidad. Para ello pueden utilizar datos que tengamos publicados abiertamente en redes sociales o datos afectados por brechas de seguridad, por ejemplo, una imagen de un documento oficial que hayamos enviado a otro servicio web.
  3. Superados los mecanismos de verificación del operador, nuestra identidad ha sido suplantada, pudiendo solicitar un duplicado de nuestra tarjeta SIM y poder recibir el SMS con el código de confirmación para rápidamente realizar las operaciones fraudulentas en nuestra cuenta bancaria.

Este “modus operandi” se denomina “SIM swapping”, fraude en que el delincuente duplica la línea telefónica de la víctima, haciéndose así con los mensajes SMS que el banco manda para confirmarle la clave de acceso a su cuenta bancaria, y se hace con un duplicado de la tarjeta SIM.

Para intentar combatir este tipo de fraudes, entidades bancarias y grandes compañías de internet han empezado a aplicar alternativas al envío de OTPs vía SMS mediante la opción de enviar dichos códigos a través de notificaciones en Apps propias instaladas en dispositivos móviles verificados. En caso de duplicado de la tarjeta SIM el mensaje con el código seguiría llegando a la App instalada en el dispositivo original vía Internet, en lugar de un SMS al dispositivo del atacante. Sin embargo, la amenaza puede persistir mientras esta migración no se complete o si los procedimientos para cambios en el dispositivo de confianza son débiles por estar basados en contraseñas, preguntas de seguridad o SMS.

La directiva PSD2 no establece cuáles son los mecanismos técnicos concretos que son válidos para la autenticación reforzada de clientes, son las directrices de la Autoridad Bancaria Europea las que presentan una lista no exhaustiva con las distintas alternativas válidas para cada uno de los factores de autenticación. Una de ellas es el envío de OTP en Apps instaladas en dispositivos vinculados, pero hay otras que podrían ofrecerse a los clientes como, por ejemplo, la posesión de un certificado digital o un determinado token hardware/software, y que pueden minimizar los riesgos relativos a la protección de datos.

De esta forma, para aquellos que sí utilizamos el dispositivo móvil de forma habitual, lo tenemos que mostrar para otros servicios y lo conectamos habitualmente a Internet, supone tener que poner en riesgo de forma constante el segundo factor de autenticación.

Por todo ello, es importante seguir estas recomendaciones para no ser víctimas de fraudes como el “SIM Swapping”: 

 1 NDEBEMOS REUTILIZAR LAS MISMAS CONTRASEÑAS EN DISTINTOS SERVICIOS Y EVITAR LAS CONTRASEÑAS SENCILLAS O POCO ROBUSTAS.
 2 SER CAUTELOSOS A LA HORA DE ACCEDER A LA PÁGINA WEB DEL BANCO O TIENDAS ONLINE, EVITANDO HACERLO DESDE ENLACES SUMINISTRADOS POR MENSAJES O CORREOS ELECTRÓNICOS.
 3LIMITAR LA INFORMACIÓN QUE PUBLICAMOS EN INTERNET Y SER CONSCIENTES DE LOS POSIBLES TRATAMIENTOS QUE SE PUEDEN REALIZAR CON ESTA INFORMACIÓN.
4MANTENER ACTUALIZADO Y PROTEGIDO CONTRA MALWARE EL DISPOSITIVO QUE UTILICEMOS PARA REALIZAR OPERACIONES FINANCIERAS, ASÍ COMO INSTALAR ÚNICAMENTE LAS APPS IMPRESCINDIBLES Y SIEMPRE DE REPOSITORIOS OFICIALES (TIENDAS DE APLICACIONES OFICIALES EN EL CASO DE DISPOSITIVOS MÓVILES).

¿Qué debo hacer SI finalmente soy víctima de un SIM swapping?

SI observamos que el móvil se queda sin cobertura en la línea telefónica mientras que otros móviles cercanos si la tienen, es el primer síntoma de que quizás estemos siendo víctimas de un ataque tipo “SIM swapping”, por lo que debemos ponernos en contacto urgentemente con nuestro proveedor telefónico para que nos confirme si alguien ha hecho un duplicado de nuestra tarjeta SIM, así como poner los hechos en conocimiento de nuestra entidad bancaria e interponer denuncia en la policía o Guardia Civil.