Los números de teléfono se utilizan para muchas actividades de la vida cotidiana, como consultar el acceso a la cuenta, usar aplicaciones para compartir viajes, obtener entradas para eventos, tarjetas de embarque para viajes y, por supuesto, comunicarse con amigos, familiares y colegas. Pero, ¿qué pasa si tu número de teléfono cae en manos equivocadas?
Los números de teléfono se encontraron en el 39% de todas las filtraciones de datos, según una investigación de Verizon de 2024, el año más reciente para el que este tipo de datos está disponible. Las filtraciones de datos contra operadores telefónicos (y proveedores externos) también exponen números de teléfono y cuentas asociadas. Más recientemente, una filtración de datos en Charter Communications, un importante proveedor de telecomunicaciones, puede haber provocado el robo de 42 millones de registros que incluían números de teléfono de clientes.
Muchos números de teléfono están disponibles, sujetos a posibles abusos. “Prácticamente todos los números de teléfono en todo el mundo están en la base de datos de otra persona”, dijo Lance Spitzner, director de capacitación en ciberseguridad laboral en el Instituto SANS.
Qué pueden y no pueden hacer los hackers con tu número de teléfono
No es un riesgo por sí solo que alguien tenga su número de teléfono, pero cuando se combina con información de identificación personal, como registros financieros, se convierte en un problema.
Un número de teléfono por sí solo no suele ser suficiente para desbloquear el acceso a su dispositivo o bloquear su cuenta. Un escenario menos siniestro pero simplemente molesto es que su número de teléfono se convierta en un objetivo principal en las bases de datos de contactos de ventas y llamadas automáticas. Pero lo que está en juego aumenta cuando cae en las manos equivocadas.
Los números de teléfono pueden ser puertas de entrada a actividades maliciosas. “Los números de teléfono por sí solos no proporcionan acceso al dispositivo, pero pueden usarse en estafas que engañan a las víctimas para que revelen sus credenciales o instalen malware”, dijo Langley Allbritton, presidente de AI Communications Consulting. “El objetivo suele ser el fraude financiero, el robo de identidad o el robo de cuentas”.
Es importante tener en cuenta que los piratas informáticos no pueden obtener acceso simplemente llamando a la víctima. “El riesgo proviene de la ingeniería social, de convencer a otros de que compartan códigos, contraseñas o aprueben el acceso, no del teléfono en sí”, añadió.
1. Spam y notificaciones erróneas
Como mínimo, el número de teléfono de una persona podría terminar en una base de datos de marketing y llamadas automáticas. El contenido que luego se envía a su número de teléfono puede variar desde anuncios de productos hasta estafas de mensajes de texto personales y números sospechosos de ser incorrectos. Algunos pueden incluir un enlace a una dirección web fraudulenta, mientras que otros simplemente buscan una respuesta que muestre el número “activo” que se está utilizando.
“Recibe un mensaje de texto: ‘¿Autoriza un cargo de $200? Responda S/N”, explicó Patrick Coughlin, director ejecutivo y fundador de Savi Security. “Responde ‘N’. Segundos después, un refinado agente del “departamento de fraude” le agradece por hacérmelo saber y le dice que protegerán su cuenta y que necesitan el código de verificación que le enviaron hoy. El código es en realidad el atacante que causa el restablecimiento de la contraseña y usted se lo lee de inmediato. Las víctimas se dan cuenta demasiado tarde, normalmente cuando empiezan a llegar notificaciones reales de cambios de cuenta.
Quizás igual de malicioso sea una llamada telefónica o un mensaje de texto de una supuesta autoridad gubernamental. Por lo general, pueden representar a las autoridades de peaje advirtiendo sobre peajes impagos que deben pagarse inmediatamente. Otras órdenes pueden provenir del Servicio de Impuestos Internos, la Administración del Seguro Social o un tribunal local. En particular, las entidades gubernamentales nunca se comunicarán con los ciudadanos por mensaje de texto o teléfono. Toda esa correspondencia se realiza por escrito, a través de la oficina de correos. Una llamada telefónica o un mensaje de texto que diga ser del banco también puede apuntar a su número de teléfono.
2. Cambiar tarjeta SIM
El intercambio de SIM es la forma más problemática y dañina de piratería de números de teléfono. Los atacantes toman los números de teléfono de las víctimas y los vinculan con información de identificación personal para contactar a los proveedores de servicios móviles. Si reúnen suficiente información para convencer al representante de servicio al cliente del operador de que son los propietarios legítimos del número de teléfono, su cuenta se transferirá a una tarjeta SIM de reemplazo.
Los atacantes, por ejemplo, pueden “inventar una historia sobre la pérdida de su teléfono o tarjeta SIM y la necesidad de transferir su número a uno nuevo”, dice Mary Ann Miller, vicepresidenta y asesora ejecutiva de fraude y delitos cibernéticos de Prove. Una vez que el atacante obtiene el control del número de la víctima, el estafador “puede interceptar la contraseña de un solo uso SMS utilizada para la autenticación de dos factores, dándole acceso a su cuenta bancaria y otros servicios confidenciales”, advirtió.
Desafortunadamente, el cambio de SIM no es visible hasta que la víctima intenta usar el teléfono y ya no recibe el servicio. En ese momento, es urgente que se comuniquen con su proveedor de telefonía móvil y verifiquen y cambien las contraseñas de todas las cuentas financieras y de redes sociales.
Prevenir los intercambios de SIM puede implicar una combinación de vigilancia y tecnología. La Comisión Federal de Comunicaciones (FCC) de EE. UU. recomienda las tarjetas eSim, por ejemplo, para obtener mayores beneficios de seguridad. “Las tarjetas eSIM no se pueden robar sin robar el teléfono, mientras que las tarjetas SIM extraíbles a veces se roban y se utilizan en fraudes de transferencia”, dijo la FCC.
Para determinar si tiene una SIM o eSIM en su iPhone, vaya a Configuración, desplácese hasta General, luego Acerca de, luego desplácese hacia abajo para ver si se indica SIM física o eSIM. En un teléfono Android, verifique la ranura para SIM en el costado del teléfono o vaya a Configuración, luego Red e Internet para verificar el tipo de configuración de SIM.
3. Señal de intercambio de SIM falsa
Tan nefasto como el intercambio de SIM, que alerta falsamente sobre el posible intercambio de SIM, está en marcha, lo que puede abrir la puerta a los piratas informáticos.
“Las víctimas pueden recibir una notificación, potencialmente por correo electrónico, solicitando que se cambie o modifique su número de teléfono”, advierte Calum Baird, consultor senior de forense digital y respuesta a incidentes de Systal Technology Solutions. “También pueden indicarles que sigan el enlace si notan que esto sucede”.
Estas alertas falsas son intentos de phishing para obtener acceso con contraseña a su cuenta. “Si recibe un aviso de este tipo, debe comunicarse con su proveedor de telecomunicaciones inmediatamente a un número de teléfono que sepa que es correcto”, dijo Baird.
4. Estafas de transferencia
De manera similar al intercambio de SIM, las estafas de transferencia involucran a estafadores que utilizan el número de teléfono de la víctima, en combinación con otra información personal, para cambiar a otro operador telefónico. Con una nueva cuenta a nombre de la víctima, esta puede restablecer sus credenciales de acceso a sus cuentas financieras y de redes sociales.
Por supuesto, los operadores tienen controles y salvaguardas para protegerse contra el fraude de portabilidad, como PIN y contraseñas asociadas con sus cuentas. Pero aún así, no está blindado, según la advertencia de la FCC. Los estafadores intentarán eludir la protección del operador asociando el número de teléfono de la víctima potencial con información pública y pirateada. Con tal combinación de datos, pudieron convencer al representante de la compañía telefónica para que les enviara el número.
Evitar este tipo de estafas significa ser proactivo y administrar un PIN o contraseña para verificar su identidad cuando llame sobre su cuenta telefónica, dijo la FCC. Además, esté alerta -a través de notificaciones en tiempo real- ante cualquier cambio en sus cuentas financieras u otras.
5. Fraude de suscriptores
El fraude al cliente implica la creación de una cuenta completamente nueva con un número a nombre de la víctima.
“Se necesita tiempo para descubrir que se ha producido un fraude por parte del cliente, y aún más tiempo para demostrar que no se está endeudado”, dijo la FCC.
Para abordar posibles fraudes de clientes, comuníquese también con los proveedores de servicios de cuentas fraudulentas y con las autoridades locales. Además, controle su perfil crediticio a través de una de las tres principales agencias de informes crediticios.
6. Clonación móvil
Los atacantes expertos en tecnología también pueden monitorear las ondas de radio de las transmisiones de teléfonos celulares y clonar su propia versión de la cuenta en un teléfono celular no autorizado.
El proceso de clonación implica replicar el número de serie electrónico (ESN) y el número de identificación móvil (MIN) únicos de un teléfono móvil. Una vez que la información ESN y MIN se transmite al teléfono clonado, el operador “no puede distinguir el teléfono celular clonado del legítimo”, según la FCC. Como en todos los casos, el primer paso es alertar a tu operador si aparece algún cargo sospechoso en tu cuenta.
7. Falsificación de números de teléfono
Un hacker o un estafador puede falsificar su número para que sus contactos (familiares, amigos, colegas) vean su número y crean que están recibiendo una llamada suya. O, por el contrario, pueden falsificar números bancarios u otras fuentes fiables.
“La suplantación de números permite a los delincuentes mostrar identificaciones de llamadas falsas o confiables, por lo que las llamadas fraudulentas aparecen como su banco, agencia gubernamental o un nombre que reconoce”, dijo Clayton LiaBraaten, portavoz senior de la industria de Truecaller.
