Durante los últimos meses del 2017 y lo que va del 2018, más de 40 usuarios contactaron al Laboratorio de Investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, buscando información sobre una estafa que les estaba generando pérdidas económicas. La misma consiste en que los delincuentes compran tarjetas SIM de manera anónima en los kioscos y almacenes, luego, realizan el cambio de titularidad para adquirir un plan de abono mensual usando los datos de una persona real, posiblemente obtenidos de alguna base robada o del padrón electoral argentino, que puede ser accedido mediante diferentes servicios ofrecidos en línea como, por ejemplo, un sitio que permite realizar búsquedas por nombre, apellido o DNI de la persona:
Esto más otra información que pueda estar públicamente disponible a través de perfiles de redes sociales que estén indexados y prácticas de privacidad laxas, amplían la variedad de datos que se obtienen y que pueden ser suficientes para servir al robo de identidad.
Una vez que el atacante colocó la cuenta a nombre de una víctima, puede realizar llamadas internacionales de larga duración o incluso puede adquirir teléfonos que son enviados al domicilio estipulado por el delincuente. Las consecuencias incluyen: altas deudas a nombre de las víctimas que ascienden a más de $25.000 y, en consecuencia, pueden ser registrados como deudores en el Veraz, situación que pone en jaque su historial crediticio, y grandes pérdidas a las empresas de telefonía, una vez que el usuario hace el reclamo.
Desde el punto de vista de la seguridad de la información, la relevancia de esta estafa viene dada por el hecho de que se estaría suplantando la identidad de una persona, aprovechando la facilidad con la que el sistema de autenticación desplegado por parte de las empresas telefónicas permite cambiar la titularidad de una línea. Al verificar cómo era el proceso de adquisición de un plan de abono mensual desde una tarjeta SIM comprada en un almacén, solo una de las empresas telefónicas consultadas respondió que se requería que el trámite fuese personal, presentando la documentación pertinente.
Para evitar caer en este tipo de fraude, el Laboratorio de ESET Latinoamérica recomienda ponerse en contacto con la empresa de telefonía correspondiente, mediante canales oficiales, y pedir un resumen de los productos que estén a nombre del usuario. Además, es importante solicitar la anulación de la posibilidad de realizar trámites de manera telefónica para asegurarse de que no podrán robar la identidad digital y utilizarla para endeudar al titular.
En caso de haber sido víctima, hay que tramitar la baja de la línea y el desconocimiento de la misma con la empresa telefónica. Aunque algunas personas han podido resolver el problema de manera no presencial, se aconseja obtener un documento firmado que corrobore el desconocimiento de esa línea.
Si la deuda es muy grande, su anulación debiese comunicarse al Veraz sin necesidad de intervenir. De todos modos, se puede llamar a la entidad para chequear que no se figura como deudor. Opcionalmente, si se ha sufrido percances graves a causa de este incidente, hay que ponerse en contacto con la Defensa del Consumidor o con el ENACOM (Ente Nacional de Comunicaciones).