La técnica utilizada se denomina SIM swapping, un sistema que exige una cuidadosa planificación, así como robos y estafas a varios niveles.
La técnica del SIM swapping se hizo famosa hace unos meses cuando el mismísimo fundador de Twitter reconoció que le habían robado su cuenta usando este sistema.
El SIM swapping consiste en usar una tarjeta SIM duplicada del teléfono de la víctima, para robarle todos sus datos. Si tienes una tarjeta SIM duplicada y conoces la dirección de correo de la víctima, puedes pedir un cambio de contraseña. Gmail te envía un código SMS de verificación al móvil... que recibe el ciberdelincuente, porque tiene una copia de la tarjeta SIM. Google da por buena la identificación, y el hacker puede cambiar la contraseña y hacerse con el control de la cuenta.
Como habrás deducido, la clave está en cómo el ladrón obtiene esta tarjeta duplicada. Puede ir a una tienda de telefonía y pedirla, pero para ello necesita algunos datos de la víctima. Las operadoras suelen pedir el DNI u otro dato identificativo para darte una copia de tu tarjeta SIM, si alegas que se te ha roto o la has perdido.
Aquí entra en juego la habilidad del hacker. Puede hacer phishing a la víctima para obtener estos datos, o ser un familiar o amigo que los conozca, o puede intentar engañar al empleado de la tienda para que le haga una copia sin darle los datos que pide, o usar datos falsos. O, como ha ocurrido alguna vez, tener un cómplice que trabaja para una operadora.
No se ha hecho pública la técnica que utilizó el joven Samy Bensaci para hacerse con las tarjetas SIM duplicadas. Lo que si se sabe es que con ellas en su poder (consiguió las de varias personas), accedió a sus cuentas de correo y del banco, y consiguió las claves de los monederos de monedas digitales. En total robó u$s 50 millones.
Entre las víctimas hay algunas personalidades como Dan Tapscott, el jefe del Instituto de Investigación del Blockchain, y su hijo.
Se ha descubierto que todas ellas tenían algo en común: todas asistieron a Consensus, una conferencia sobre monedas digitales que tuvo lugar en Nueva York. Seguramente allí contactó con ellos y obtuvo su dirección de correo, nombres y algún dato más.
Samy Bensaci ha salido bajo fianza de u$s 200.000 hasta que se celebre el juicio, pero tiene prohibido usar dispositivos que tengan Internet, y deberá permanecer bajo custodia de sus padres. Se enfrenta a varios años de cárcel, indicó Computer Hoy.