Consiguen robar dinero para comprarse un McLaren con un cambio de SIM
Actualmente, muchos servicios utilizan la verificación en dos pasos para añadir un plus de seguridad. Así, además de introducir nuestra contraseña, también tenemos que introducir un código que nos llega por SMS. El problema es que un atacante puede generar una nueva tarjeta SIM haciéndose pasar por nosotros ante nuestro operador, y eso es lo que hizo un estadounidense para poder acceder a carteras de criptomonedas y robar dinero.
Clonación de SIM: el enemigo de la verificación en dos pasos
Este joven, llamado Xzavyer Clemente Narvaez y de sólo 19 años, fue detenido por la policía en Santa Clara, California por haber robado en torno a un millón de dólares en criptomonedas. Según afirman las autoridades, las usó para comprar diversos artículos de lujo, entre los que se encontraba un McLaren 570S valorado en 200.000 dólares. Esta suma de dinero la obtuvo con ataques a diversas personas, entre los que se encuentra un señor al que le quitaron 150.000 dólares.
Esto lo consiguió mediante la clonación de la tarjeta SIM de la víctima, la cual se redirige a una SIM bajo control del atacante. Cuando se produce esto, el móvil del atacado deja de tener cobertura y no recibe ni llamadas, ni mensajes ni puede usar Internet móvil. Los mensajes llegan a la SIM del ladrón, incluyendo los de verificación en dos pasos usados en webs como portales de intercambio de criptomonedas.
A Narvaez lo detuvieron después de que se produjera en julio el arresto de Joel Ortiz, un estudiante universitario de Boston que había usado la misma técnica que él para robar 5 millones de dólares en criptomonedas de 40 víctimas distintas. En el móvil que usaba Ortiz para hacer los intercambios de SIM, los agentes descubrieron que en algún momento estuvo asociado con el correo de Google Xzavyer.Narvaez@gmail.com.
Apple, Verizon y AT&T colaboraron con las autoridades para asociar los robos a Narvaez
Después de obtener el IMEI de su móvil y contactar con varias empresas tecnológicas, consiguieron ubicar el móvil de Narvaez en puntos cercanos a su casa en Tracy, California, en las horas en las que las víctimas habían informado que sus SIMs habían sido hackeadas. AT&T informó de que los IMEI hackeados se conectaron a las mismas antenas a las que se conectaba el móvil del propio Narvaez. Apple y Verizon también cooperaron ofreciendo datos de posicionamiento de las víctimas.
Además, el pago del McLaren se hizo en bitcoins a través de BitPay, que actuaba como intermediario entre el usuario y el concesionario. El resto del coche se pagó entregando un Audio R8 de 2012. Las autoridades usaron la dirección de blockchain desde la que se emitieron los pagos para llegar a la cuenta de Bittrex de Narvaez, donde localizaron un total de 157 bitcoins, algo más de un millón de dólares, en un periodo de 4 meses.
Narvaez se enfrenta ahora mismo a cuatro cargos de suplantación de identidad, otros cuatro de alteración y daño de datos informáticos con intento de fraude o robo de dinero, y robo por un total de 1 millón de dólares.
En Estados Unidos, todos los operadores permiten proteger sus cuentas de este tipo de fraudes a través de un PIN que piden siempre que vayan a realizar cambios en persona o a través del teléfono. El problema es que muchos de estos atacantes tienen contactos con trabajadores de las tiendas de los operadores que pueden saltarse estas protecciones.
- Archivado en
- Banda Ancha