Para frenar el SIM Swapping, el Enacom le exige a las operadoras implementar en 60 días nuevos sistemas de validación de la identidad de sus clientes

El Ente Nacional de Comunicaciones (Enacom) anunció la próxima implementación de un nuevo sistema de identificación para combatir el fraude en telefonía celular y aumentar la seguridad de las personas. Se trata de algo que será obligatorio para las empresas de telecomunicaciones, que deberán implementarlo en los próximos 60 días. Básicamente, consiste en evitar un problema muy sensible: que alguien pueda obtener fácilmente un chip con una línea telefónica haciéndose pasar por otra persona, lo que se conoce como SIM swapping.

Una vez que obtienen esa nueva tarjeta SIM, desactivan la anterior (un mecanismo automático, y que asume que la anterior se perdió o está en un celular robado, y no en uno en uso) y al hacerlo dejan al propietario original de esa línea sin datos o llamadas. Y entonces, pueden utilizar esa línea capturada en la verificación por medio del celular que suelen pedir todas las cuentas de redes sociales, WhatsApp o incluso bancos cuando se opera a través de Internet. Solo como ejemplo: con esa verificación vía mensaje de texto y habiéndose apoderado de la línea, tienen todo para demostrar ser los dueños de esa línea y de esa cuenta online. Por ejemplo, en WhatsApp, obtienen el PIN para iniciar sesión (si es que claro, no tienen doble factor de autenticación). Y entonces pueden hacerse pasar por esa persona para pedirle dinero a amigos o familiares. También, en poder de esa línea, podrían ingresar a cuentas de home banking, u obtener los chats que están almacenados en la nube de la app Telegram. A este tipo de estafa se lo conoce como SIM Swapping y tiene múltiples objetivos: desde estafas hasta espionaje.

Una debilidad que llegó con la pandemia

Durante la pandemia, las compañías telefónicas habilitaron la posibilidad de obtener el chip de forma remota. Con algunas preguntas del tipo DNI, nombre, apellido, y algún dato laboral, entregaban la tarjeta, aun sin tener la prueba fehaciente de que fuera el titular. Este método sobrevive aún hoy. Ahora, según el Enacom, eso deberá cambiar.

En diálogo con LA NACION, Diego Leiva, coordinador de asuntos técnicos del Enacom, explicó que “tendrán que reforzar el sistema de registro o alta de sus usuarios implementando mecanismos de validación de la totalidad de los datos del DNI. Deberán Incorporar mecanismos de seguridad para el caso de modificaciones en las condiciones comerciales y/o técnicas de las líneas de telefonía móvil que puedan ser consideradas críticas o sensibles: para el caso de cambios en las condiciones técnicas o comerciales de una línea (como por ejemplo cambio de SIM o cambio de titularidad), mecanismos para validar la identidad del usuario sea con validación de datos biométricos (como el reconocimiento facial, pero no es el único) o, cuando ello no sea posible porque el terminal del usuario no lo permita por un atraso tecnológico, deberá implementar la validación a través de mecanismos de múltiples pasos o factores”.

Según explicó Leiva, “el fraude conocido como SIM Swapping tiene baja incidencia en la industria: no supera el 0,05%, pero en los casos registrados el daño moral o económico a los usuarios es enorme”. Uno de los casos más resonantes fue el que involucró al ministro de Seguridad porteño, Marcelo D’Alessandro (ahora en uso de licencia). A partir de ese caso de SIM Swapping, por el cual se filtraron una serie de chats, en enero último la jueza federal María Servini requirió al Ente Nacional de Comunicaciones (Enacom) que adopte las medidas que sean necesarias para dificultar y en lo posible impedir el hackeo de los teléfonos celulares; y eso es lo que le pide el Enacom a las operadoras que implementen sin demoras en los próximos 60 días.

Según detalló el organismo en un comunicado, “Las Prestadoras del Servicio de Comunicaciones Móviles tendrán el plazo de 60 días a partir del dictado de la resolución correspondiente para adecuar sus sistemas de nominación y validación de conformidad con las previsiones del Reglamento y deben contar con un sistema de nominación y validación de la identidad de sus usuarios titulares de forma presencial o remota, sea por sí o por terceros.”