05
Mar
2025

Tu teléfono se filtró, por eso te llaman con una multa (que no te pusieron) o un paquete en la aduana (que no tienes)

5 marzo, 2025

Frases sobre ciberseguridad

Kevin Mitnick: «Era adicto al hacking, más por el reto intelectual, la curiosidad, la seducción de la aventura; no por robar, ni por causar daños o escribir virus informáticos.» 

Edward Snowden: «Lo que se explota no son los datos, sino las personas.» 

Whitfield Diffie: «Es sencillamente poco realista depender del secreto para la seguridad del software informático.» 

James Scott: «No existe una solución milagrosa para la ciberseguridad, la única defensa viable es una defensa en capas.», aunque creo que más bien es como una cebolla

Bruce Schneier: «La vigilancia es el modelo de negocio en internet.»

Stephane Nappo: «Si crees que lo sabes todo sobre ciberseguridad, esta disciplina probablemente no te fue bien explicada.» 

Dan Kaminsky: «Es un secreto a voces que casi todos los sistemas pueden ser pirateados de alguna manera.» 

Eric S. Raymond: «Ser capaz de superar la seguridad no te convierte en un hacker, de la misma forma que hacer un puente a un coche no te convierte en ingeniero mecánico.»

Kevin Mitnick: «Las compañías gastan millones de dólares en cortafuegos, encriptación y dispositivos de seguridad, y es dinero tirado a la basura; ninguna de estas medidas se dirige a la parte más débil de la cadena de seguridad», añado yo: las personas 

John Chambers: «Existen dos tipos de empresas: las que han sido hackeadas y las que aún no saben que fueron hackeadas.». También existen dos tipos de personas las que han sido hackeadas y las que aún no saben que han sido hackeadas 

Tu teléfono, un eslabón muy débil

Hoy en día usar solo uno o dos números de teléfono para todo en nuestra vida es uno de los mayores errores de seguridad que cometemos. Nuestro número en Amazon, estará en manos de ciberdelincuentes si estos datos se filtran, que siempre se filtran. Si eres directivo, propietario, gerente o tienes un puesto de responsabilidad, debes usar tu teléfono con cautela. Deberías tener  un número auténticamente privado y sin más aplicaciones que solo las necesarias para la seguridad de tu organización.

Quien tiene dos números de teléfono, ya es raro, en general suele ser gente que tiene un negocio, empresarios, pero en general todo el mundo utiliza uno solo y la mayoría lo utiliza para todo: bancos, redes sociales, servicios online, compras (recibir paquetes cuentas de Amazon o Aliexpress), etc.

Siempre recomiendo a mis clientes que usen más de un número de teléfono para dividir actividades personales de sus actividades de empresa, principalmente, las de banca electrónica. Con cada registro, ese número queda expuesto en esas plataformas.

Cuando hay filtraciones tu número, junto con tus datos personales como el email o el domicilio, queda en manos de ciberdelincuentes. Esta es una explicación para los famosos SMS de “Tienes un paquete en correos paga la tasa aduanera” o “tienes un fallo de seguridad en tu banco: accede y dame tus credenciales”.

Una sola filtración puede dar acceso a tus redes sociales, cuentas bancarias e incluso a tu vida personal, abriendo múltiples vectores de ataque.

SIM Swapping: El oscuro arte del robo de identidad telefónica y la extorsión

El SIM Swapping es una técnica de fraude que ha ganado notoriedad en los últimos años, siendo utilizada para robar la identidad y, en muchos casos, extorsionar a las víctimas. Se trata de una forma sofisticada de ataque en la que el delincuente engaña al proveedor de servicios móviles para transferir el número de teléfono de la víctima a una tarjeta SIM nueva, controlada por el atacante.

Una vez logrado esto, el atacante puede interceptar códigos de autenticación, acceder a cuentas bancarias, redes sociales y otros servicios que dependen de la verificación vía SMS.

A menudo los hackeos se propagan en cadena ya que como utilizas ese número de teléfono para todo es muy fácil identificar dónde lo estás usando y con ello acceder a esas cuentas utilizando como segundo factor de autentificación el SMS, que reciben en la tarjeta sin clonada. Lo han hecho con tus datos. Tienen acceso a todo y no solo se trata de hackeos: localizar tus redes sociales y rastrear tu actividad online. Muy fácil, mucho más fácil de lo que crees.

Por ejemplo, al sincronizar tus contactos en Instagram, la app te sugiere a seguir a personas que tienes en tus contactos lo mismo puede hacer un atacante con tu número puede rastrar tu actividad en redes sociales y encontrarte en cada plataforma donde ese número esté siendo utilizado.

Sincronizaste tus contactos por comodidad, ahora lo están utilizando para atacarte, a ti y a tus contactos

 

¿Ahora ves la utilidad de tener más de un número de teléfono?

Te vamos a dar la estrategia necesaria para recuperar el control de tus datos más importantes y volver a ser anónimos.

Ni que decir tiene que es importante que elimines el enlace entre tu teléfono y las aplicaciones de redes sociales, elimina los permisos de las aplicaciones que tienen acceso a tus contactos..

 

La primera regla es sencilla No uses tu número de teléfono personal para registrarte en todo lo que te encuentres en internet. Tu número de teléfono debe limitarse a lo esencial como bancos, procesos estatales, trámites oficiales etcétera. Todo aquello que sea vital en tu país.

Si el número se filtra (véase la filtración de la DGT), cámbialo. Solo lo usas para lo esencial, ese número solo lo debe tener tu familia cercana y en gobierno, para los trámites esenciales.

Si es posible utiliza un número separado para cuestiones oficiales y otro para amigos y familiares lo ideal sería tener dos, números uno para asuntos importantes que requieran KyC o “know your customer”, como bancos y otro para tus relaciones personales. Recuerda que existen las tarjetas eSIM, por tanto no es necesario que tengas dos o tres terminales, aunque sería lo ideal.

Herramientas y Medidas de Protección para Prevenir el SIM Swapping

Para protegerte contra el SIM Swapping y sus consecuencias, es fundamental implementar una serie de medidas tanto a nivel personal como empresarial:

Protección en la cuenta con el operador:

  • Establece un PIN o contraseña: Solicita a tu operador que asigne un PIN o contraseña adicional para cualquier cambio en tu cuenta. Esto añade una capa de autenticación que dificulta que un atacante realice una transferencia sin tu autorización.
  • Alertas de cambio: Configura notificaciones o alertas para que te informen de cualquier solicitud de cambio en tu línea o tarjeta SIM.

Autenticación Multifactor (MFA):

  • Utiliza autenticación multifactor en todas las cuentas sensibles, especialmente aquellas que dependen de mensajes SMS. Considera utilizar aplicaciones de autenticación como Authenticator, Authy o Signal que generan códigos sin depender exclusivamente de SMS.

Monitoreo de actividad sospechosa:

  • Emplea servicios de monitoreo para detectar cualquier actividad inusual en tu cuenta móvil. Algunos operadores y aplicaciones de seguridad ofrecen alertas en caso de intentos de cambio de SIM.

Educación y concienciación:

  • Infórmate y mantente alerta ante técnicas de phishing y ataques de ingeniería social. La mayoría de los SIM Swapping comienzan con la recopilación de información a través de métodos engañosos.

Defenderse del SIM Swapping: Números de Teléfono Anónimos y Recuperar la Anonimidad

Una estrategia clave para minimizar el riesgo de SIM Swapping es utilizar números de teléfono que no se vinculen directamente a tu identidad o que sean difíciles de rastrear. Para todas las operaciones que no sean específicamente personales, podemos:

Teléfonos desechables (Burner Phones):

  • Utiliza teléfonos desechables o SIMs de prepago que no estén vinculados a tu identidad personal. Estos dispositivos te permiten realizar transacciones y comunicaciones sin comprometer tus datos reales.
  • Herramientas y servicios: Algunos proveedores ofrecen tarjetas SIM anónimas, aunque su disponibilidad puede variar según el país y las regulaciones locales.

Números virtuales:

  • Utiliza números virtuales para registrarte en servicios sensibles. Plataformas como Google Voice (en algunos países) o servicios específicos de números virtuales pueden ayudarte a mantener tu número principal separado de las actividades en línea.
  • Ventaja: Los números virtuales pueden ser descartados o cambiados fácilmente sin afectar tu identidad real.

Control de divulgación de datos:

  • Asegúrate de limitar la divulgación de tu número de teléfono en redes sociales y plataformas públicas. Utiliza la verificación en dos pasos y mantén una estricta gestión de quién tiene acceso a tus datos personales.

Protección de la identidad digital:

  • Considera utilizar herramientas de alias o identidades digitales que te permitan gestionar múltiples identidades en línea, separando tu actividad profesional de la personal.

La IA: Agravamiento de la Privacidad

El uso creciente de la inteligencia artificial (IA) en la seguridad y el análisis de datos ha traído consigo un doble filo en términos de privacidad:

  • Perfilado avanzado: La IA puede analizar grandes volúmenes de datos para construir perfiles detallados de los usuarios, lo que incluye patrones de comportamiento, ubicaciones frecuentes y conexiones entre diversas cuentas.

  • Predicción de comportamientos: Los algoritmos de IA pueden predecir futuras acciones basadas en tu actividad actual, lo que puede utilizarse para identificar vulnerabilidades y, en el caso del SIM Swapping, identificar objetivos potenciales.

  • Automatización de ataques: La IA permite que los ataques de SIM Swapping sean más sofisticados y automáticos, disminuyendo la intervención humana y haciendo que los ataques sean más rápidos y difíciles de detectar.

  • Integración en sistemas de rastreo: Los sistemas de seguridad basados en IA en los operadores y servicios móviles pueden, paradójicamente, contribuir a la consolidación de perfiles detallados, lo que aumenta el riesgo si estos sistemas son comprometidos o mal utilizados.

Si eres paranoico en estado supremo, o es muy importante no dejarte incomunicado y que tu número no sea rastreado por un operador, entonces:

Cuando enciendes tu móvil, tu tarjeta de operador y las antenas de operador se ponen en comunicación intercambiando un DNI indeleble del teléfono que es el IMEI. El IMEI es un dato único que se intercambia en todo lo que realizas con tu operador. Si quieres ocultarlo, tienes que quitar la tarjeta de tu móvil. ¿Entonces cómo me comunico?. Utiliza un Wifi Hotspot que te permita tener conectividad por internet. Si es posible, que acepte Open VPN y ofusque todas las comunicaciones. En caso de ser ese paranoico que he describo, te recomiendo el siguiente equipo:Mudi V2 by GL.iNet (https://www.gl-inet.com/products/gl-e750/). Permite incluso enrutar el tráfico a través de la red Tor.

Esta es una táctica que puedes considerar si te preocupa el nivel de vigilancia. Con este sistema te mantienes conectado, Sin comprometer tu privacidad y mantienes anonimato. Las llamadas, eso sí, a través de aplicaciones de llamada privadas en Europa como Simplex o Session.

Proteger el número de teléfono, utilizando plataformas de verificación de SMS de un solo uso

Un «verificador SMS de un solo uso» es un servicio que permite recibir un código de verificación vía SMS que se utiliza una única vez para confirmar la identidad o validar un proceso.

Este tipo de verificador se utiliza comúnmente para registrarse en servicios en línea, realizar autenticaciones o validar transacciones, ofreciendo una capa adicional de seguridad, sin exponer el número de teléfono personal o privado.

¿Cómo funciona un verificador SMS de un solo uso?

  • Generación del código: El sistema genera un código numérico aleatorio, usualmente de 4 a 6 dígitos, que se asocia a una solicitud de autenticación.
  • Envío vía SMS: El código se envía a través de un mensaje SMS al número de teléfono proporcionado por el usuario.
  • Validación: El usuario ingresa el código en la aplicación o sitio web, donde el sistema lo compara con el código generado. Si coinciden, se completa el proceso de autenticación.
  • Uso único: Una vez utilizado, el código se invalida para evitar que pueda ser reutilizado, garantizando así una mayor seguridad en el proceso.

Herramientas y Servicios de Verificación SMS

Existen varios proveedores y servicios que ofrecen verificación SMS de un solo uso, y estos se integran a través de APIs en aplicaciones y sitios web. Algunos de los proveedores más conocidos incluyen:

  • Twilio Verify: Una plataforma robusta y escalable que ofrece verificación SMS y otros métodos de autenticación.
  • Nexmo (Vonage API): Permite enviar SMS de verificación y tiene una API fácil de integrar en diversas aplicaciones.
  • MessageBird: Ofrece servicios similares de envío de SMS para verificación de un solo uso.
  • Plivo: Otra opción popular para la integración de SMS en aplicaciones con soporte para verificadores de un solo uso.
  • SMS Pool, utiliza un bot de Telegram para autenticar y permite gestionar accesos diferentes, sin exponer tu teléfono

Opciones de Código Abierto

Si buscas soluciones de código abierto para implementar un verificador SMS de un solo uso, hay algunos proyectos en GitHub que ofrecen ejemplos y herramientas para integrar esta funcionalidad en tus aplicaciones. Algunos ejemplos son:

  • SMS Verification API (open source): Existen proyectos que proporcionan APIs básicas para enviar y verificar códigos SMS, permitiendo adaptaciones según las necesidades específicas del proyecto.
Contra la vigilancia masiva y generalizada, contra la exposición constante de seguridad, para la mayoría de los que conocemos los riesgos existirán siempre puertas traseras para escapar de Matrix. Ser anónimo se está encareciendo, pero ser privado sigue siendo posible, ocultarse de los operadores de telefonía, de los Servicios Secretos o de Chat Control, sigue siendo posible. Protégete o alguien intentará tomar lo que es tuyo.
We are using cookies to give you the best experience. You can find out more about which cookies we are using or switch them off in privacy settings.
AcceptPrivacy Settings

GDPR