SIM Swapping: pidieron un chip a su nombre y le robaron la línea de teléfono y las cuentas de sus redes sociales

Rosario Lanusse tiene 46 años. Es comunicadora social, dirige la revista Tigris, es fotógrafa, editora de video. Y también protagonista de una jornada intensa de confusión y desesperación. A las 9.30 de la mañana del 26 de octubre, su celular, su principal herramienta de trabajo, se quedó sin señal. Algo que podría ser habitual, pero no: su plan de datos no funcionaba, su línea tampoco. Su factura, en cambio, estaba paga. Un modo avión forzoso. E inexplicable.

Mañana: sin señal

“Cambié el chip del teléfono y tampoco funcionó en otro, no entendía nada”, recuerda Lanusse. Pero era apenas el comienzo de un día difícil. Con una conexión Wi-Fi podía seguir conectada a los principales servicios, los que más utiliza. Sin embargo, para el mediodía la cuestión empezó a empeorar: “De repente, se me cerró WhatsApp y me dijo que me iba a mandar un código al teléfono por SMS para habilitarlo. Pero claro, ya no tenía línea…”, explica.

Mediodía: alguien hablaba en WhatsApp y no era ella

Hasta ese momento no sabía qué era lo que ocurría, hasta que empezó a imaginar algo posible: alguien había activado su número de teléfono en otro chip. Y ya empezaba el calvario: en los grupos familiares de WhatsApp esa otra persona empezaba a hablar. “Se hacía pasar por mí y les hablaba a mis hijos”, recuerda. “Era muy feo: era yo escribiendo y no era yo”, recordó.

Más tarde: perdió su cuenta de Instagram

Su cuenta de Instagram, @rochilanu (más de 50 mil seguidores), mientras tanto, seguía activa, pero no por mucho tiempo. No se explicaba cómo: ella tiene activado el segundo factor de autenticación, por lo cual si alguien sabía su contraseña, además necesitaría un código que se envía por SMS a su celular (por eso se llama autenticación de dos pasos; además de la contraseña se requiere una clave temporal). Si tenían la línea en su poder, podían recibir esa segunda clave, pero faltaba la contraseña. Pero Instagram tiene una ventana que los atacantes aprovecharon: se puede reestablecer contraseña para los casos en los que el usuario se olvidó la contraseña. En esos casos se manda un código por mensaje de texto… a su línea. Otra vez lo mismo: el número estaba en manos de otras personas. Y así accedieron a su cuenta.

Borraron de su identidad online

“Me habían borrado la biografía, cambiaron la región, pusieron la cuenta en modo privado. Tenía una acción con una marca, la borraron”, explica. Sin embargo, encontraba una pista: por mail, le llegaba la notificación de que alguien había ingresado a su cuenta de Instagram. “¿Fuiste tú?”, le preguntaba el sistema automático de Instagram. Entonces, ingresaba y le daba “pelea”. Cambiaba la contraseña, recuperaba la cuenta por un rato. Pero los delincuentes le volvían a cambiar la password con el método antes mencionado. Y así varias veces. “Me defendía por el mail y ellos iban por el celular”, rememora.

A la tarde: desmentirse a sí misma

La lucha duró varias horas. En WhatsApp, la persona que se hacía pasar por ella cerró grupos en los que era administradora. Habló en chats de padres del colegio. Le dijo “chau amor” a uno de sus hijos (la respuesta fue un insulto). Sus familiares, claro, ya estaban al tanto. Ellos, sí. El resto de la gente que conoce a Rosario Lanusse, pero que no vive con ella ni la ve a diario, no. “Y encima no podía desmentirlo. Estaba incomunicada”.

A las 16.43: “Querés la cuenta o no?”

A las 16.43, finalmente, le llegó un mensaje privado por Instagram que sonó a extorsión: “¿Querés la cuenta o no?” No respondió. Finalmente, tras más de un día y medio de pelear con Movistar, pudo comprar otro chip, recuperar el control de su línea y reestablecer todos los servicios. Pero perdió estadísticas, chats y, sobre todo, mucho tiempo. Todos los mensajes privados de sus cuentas quedaron visibles para esa otra persona. No había hecho nada y sin embargo entró en un laberinto complejo del que le costó salir. “Si yo no estaba cerca con la computadora perdía todo”, reflexión. De hecho, a su cuenta de Facebook la recuperó recién una semana después.

Cómo le pudo pasar

Lo que le pasó a Rosario Lanusse se conoce como SIM Swapping. Los atacantes logran comprar un chip con su línea. Al activarla, desactivan el SIM anterior. Pueden acceder a toda su información personal y, sobre todo, utilizarla esa línea capturada en la verificación por medio del celular que suelen pedir todas las cuentas de redes sociales, WhatsApp o incluso bancos cuando se opera a través de Internet. Con esa verificación vía mensaje de texto y habiéndose apoderado de la línea, tienen todo para demostrar ser los dueños de esa línea y de esa cuenta online. En el caso de Lanusse, el calvario pudo ser peor. ¿Podrían haber accedido a su home banking? Si bien Lanusse tenía doble verificación en Instagram (protección que fue diluida por la posibilidad de iniciar sesión sin saber la contraseña), en WhatsApp no tenía el PIN de seguridad, algo que sí hubiera evitado que terceros se apropiaran de esa cuenta. Sobre lo que hubiera pasado si no se hubiera movido rápido es una incógnita. Podrían haber utilizado su identidad para ofrecer dólares a contactos conocidos, aprovechando la confianza, o pedir algún favor monetario, como pasó en Río Negro en mayo de este año.

La peculiaridad de la pandemia

“Es un problema de las operadoras. Tendrían que concientizar más a las personas para identificar estas estafas y no permitir entregar el SIM solo con algunos datos. En algún momento se barajaba también pedir el número de trámite de DNI, pero como ya vimos con la filtración del Renaper, tampoco es segura. La entrega de SIM debería ser sí o sí en una sucursal de la empresa, donde el operador que entrega el SIM verifique físicamente que es el titular”, señala el especialista en seguridad informática Emiliano Piscitelli.

LA NACION consultó a Movistar sobre cómo alguien pudo pedir un chip a nombre de Lanusse. Desde la empresa explicaron que pudo tratarse de un problema asociado a una metodología que funcionó durante la pandemia, el aislamiento, los protocolos. “Una vez instalada la pandemia y las medidas de confinamiento sanitario que llevaron -entre otras medidas- al cierre temporario de los Centros de Atención a Clientes (CECs), la compañía habilitó la venta de chips en distintos puntos, como por ejemplo kioscos, para facilitar que sus clientes pudieran seguir comunicados y conectados. Así, un chip se podía adquirir en uno de estos puntos y, una vez instalado en el equipo, la persona que lo compró tenía que superar 4 preguntas de validación de identidad y del número de la línea en cuestión”. Desde la compañía aclararon que ya no existe esa posibilidad. “Actualmente, y a medida que se fue restableciendo la atención presencial en los CECs, Movistar retiró del mercado en Buenos Aires y en los lugares en donde tiene presencia, los chips que aún no habían sido vendidos, por lo cual los clientes que necesiten reemplazar su chip deberán concurrir a un Centro Comercial de la compañía o llamar por teléfono para validar su identidad”.

El especialista en seguridad informática Emiliano Piscitelli, señala algunos aspectos para prevenir este tipo de ataques que pueden aparecer de forma sorpresiva. “No hay que usar nuestro número de celular para recuperar contraseñas o como segundo factor de autenticación. En su lugar usar apps como Google Authenticator, que brindan códigos dentro de la aplicación”. En caso de quedarnos sin línea, “consultar a la brevedad con la operador, a para saber si es por problemas técnicos o si fuimos víctimas de este tipo de ataques”. Un modo avión forzoso que Rosario Lanusse no olvidará.