Vint estafats pel mètode del segrest del número de mòbil

Es tracta d’un sistema innovador d’estafa, però per primera vegada s’ha fet servir amb ciutadans d’Andorra. Col·loquialment, se la coneix com a SIM swapping, l’eSIM o la SIM virtual. Els noms són diferents, però el mètode no varia amb la finalitat última d’accedir als comptes bancaris i aconseguir el màxim de diners de la víctima. Diversos clients –poc més d’una vintena– d’Andorra Telecom han partit l’actuació d’aquests delinqüents i han vist com s’han fet transferències dels seus comptes bancaris sense tenir-ne coneixement.

Hi ha poc més d’una vintena de denúncies a la policia –els afectats podrien ser més–, que des de fa uns dos mesos té la investigació oberta per intentar identificar els autors d’aquest frau, que amb tota seguretat han actuat fora del país. El cas està judicialitzat i ni la policia ni l’operadora tecnològica volen donar detalls de com han actuat aquests delinqüents tecnològics.

De manera molt simplificada, el que es fa és enganyar la companyia usurpant la identitat del propietari real del número de telèfon. Amb diferents excuses creïbles i facilitant una sèrie de dades de verificació –normalment és un document, el nom i alguna altra informació personal– els estafadors aconsegueixen una SIM virtual, que substitueix la física i la inutilitza. Per aconseguir-ho expliquen que es troben fora d’Andorra i que han perdut la SIM i necessiten tenir el telèfon operatiu. Quan l’aconsegueixen, els lladres tenen a la seva disposició tota la informació que hi ha al telèfon de la víctima –de facto suposa tenir segrestat el número telefònic–, encara que l’interès principal és accedir als comptes bancaris i intentar buidar-los o transferir el màxim de diners possible.

A partir d’aquest robatori, és fàcil per als ciberdelinqüents obtenir codis d’accés i autenticació de dos factors per a diversos serveis, inclosos la banca i la missatgeria, fet que obre un ventall d’oportunitats perquè s’implementin estafes. En lloc d’un xip, els eSIM funcionen amb un codi, sovint un QR, a través del qual verifiquem al nostre mòbil que som l’usuari legal. Aleshores s’associa la nostra identitat electrònica amb el telèfon.

Una vegada que la víctima es queda sense servei telefònic, accedeix a la seva informació personal i pren el control de la banca digital utilitzant els SMS de verificació que arriben al número de telèfon.

Els ciberdelinqüents solen contactar a través d’una trucada amb l’operadora de telefonia o de manera presencial i proporcionen la informació personal i privada de la víctima, com ara el número de passaport, per suplantar la seva identitat. Aquestes dades poden haver estat recollides anteriorment realitzant altres atacs d’enginyeria social als afectats (fraus a través d’SMS, e-mail o trucada telefònica en què es fan passar per companyies o entitats de confiança per intentar enganyar-los) o indagant a les seves xarxes socials.

Les dades sensibles de les víctimes també poden ser obtingudes si aquestes han descarregat aplicacions fraudulentes als seus dispositius, dissenyades pels ciberdelinqüents per robar aquest tipus d’informació, o si s’han connectat a xarxes wifi falses.