SIM Swapping: Herramientas para duplicado y activación seguras. Casos de uso

Cambio de tarjeta SIM

Índice

    icon newsletter
    El mejor contenido en tu bandeja de entrada

    El SIM Swapping, cada vez más, ha demostrado ser uno de los principales retos a los que se enfrentan las compañías del sector de las telecomunicaciones

    En la industria telco, por la naturaleza de su actividad, se presentan casuísticas muy delicadas que requieren herramientas específicas que sean capaces de ser ágiles y cómodas tanto para el usuario como para los agentes comerciales sin sacrificar ni un ápice la seguridad.

    Tras una época en la que había controles mucho menos exhaustivos, los procesos de expedición, duplicado y activación de tarjetas SIM se transformaron por completo. En muchos países, tras producirse hechos delictivos muy severos, las normas técnicas y regulatorias que establecían cómo debían llevarse a cabo estos procesos se endurecieron, pero, sin embargo, los delincuentes encontraron la forma de sortear algunos sistemas.

    Con la llegada y extensión de los servicios y productos digitales y, más adelante, la implementación de controles de autenticación de múltiples factores, el SIM swapping vió la oportunidad de aprovecharse de determinadas circunstancias.

    SIM Swapping: ¿en qué consiste?

    ¿En qué consiste el SIM Swapping?

    El SIM Swapping es un método de suplantación de identidad haciendo uso de la tarjeta SIM que legítimamente corresponde a otra persona y que, ahora, está en manos de un delincuente. Este tipo de fraude tiene sentido, sobre todo, en un entorno en el que la autenticación de múltiples factores es el método de acceso a plataformas sensibles y en las que un usuario puede realizar operaciones de gran importancia.

    También conocido como “suplantación de SIM” o “duplicación/duplicado de SIM”, el SIM Swapping está mucho más extendido de lo que pudiera parecer y es que, en pleno 2022, se han interpuesto sanciones multimillonarias a operadoras de telefonía por no contar con las herramientas adecuadas que les permitieran gestionar los datos de sus clientes con seguridad y prevenir, así, este tipo de amenazas delictivas.

    En este fraude, el infractor hace un duplicado de la tarjeta SIM de un teléfono haciéndose pasar por el legítimo titular de ese número. Así, el primer paso, y el decisivo para que un delincuente pueda realizar este proceso, es el de la suplantación de identidad de una persona de la que ya tiene alguna información como su correo electrónico y nombre.

    Y es que, es mucho más sencillo de lo que pudiera parecer, ya que, a día de hoy, estos datos son públicos y aquellos que nos permiten operar tanto en la red como a nivel personal y profesional. El problema lo encontramos cuando las compañías de telecomunicaciones no utilizan métodos exhaustivos para identificar a los usuarios que solicitan realizar el duplicado de una tarjeta SIM.

    Una vez el criminal ha obtenido acceso al número de teléfono, este lo utiliza para obtener los códigos de un sólo uso que son enviados a través de SMS por los sistemas de autenticación de múltiples factores que sólo cuentan con factores no-biométricos para acceder, por ejemplo, a las herramientas digitales de banca online de la víctima, haciéndose pasar por ella y pudiendo operar en su nombre.

    Por lo tanto, y dadas las sanciones ocurridas en el sector telco por no atender correctamente esta amenaza, el SIM Swapping, del inglés “swap” que significa “intercambiar”, se encuentra actualmente como uno de los principales asuntos a resolver por las teleoperadoras y canales de venta.

    Prevé el SIM Swapping con el primer Software Bundle Deploy&Go para el sector telco

    Identificación obligatoria al solicitar una tarjeta SIM

    Para poder realizar procesos de expedición, duplicado y activación de tarjetas SIM, tanto en prepago como en la contratación de nuevos servicios de tarifas planas, es necesario que la persona se identifique debidamente. El proceso de identificación requiere que, simplemente, se facilite una copia de DNI que es almacenada en el sistema de la compañía telecomunicaciones. 

    Conoce en este artículo todos los detalles sobre los diferentes sistemas y procesos de verificación de identidad

    La importancia de los procesos en el punto de venta

    Punto de venta

    Uno de los retos más decisivos a los que hacen frente las compañías de telefonía es, sin duda, la gestión de sus canales de venta. Y es que la capilaridad de sus redes muchas veces provoca que se desatienda el detalle en ciertos procedimientos.

    Actualmente, en muchos canales de venta, simplemente se almacena el documento de identidad de la persona, sin realizar controles adicionales que verifiquen que la persona que está facilitando el documento es quien dice ser y que este es legítimo y no está falsificado. Incluso, se da el caso de que una persona puede autorizar a otra a través de un documento sencillo, firmado de cualquier forma, para dar de alta en su nombre una tarjeta SIM.

    Así, en el duplicado de SIM, las empresas del sector telco deben resolver dos grandes retos, que son penalizados por la casuística propia de este procedimiento:

    • El cumplimiento de las normas de protección de datos y privacidad (RGPD y otras).
    • La implementación de controles anti-fraude a la hora de recoger documentos sensibles.

    En la mayoría de canales de venta estos controles anti-fraude son llevados a cabo por el propio empleado, que, en nombre de la compañía, es el responsable tanto de certificar que el proceso está siendo llevado a cabo sin riesgos y bajo un entorno seguro además de que los datos serán tratados en los sistemas de la compañía conforme a las leyes relativas a la protección de datos y la seguridad requerida.

    Los canales de venta de las telco, a grosso modo, se dividen en: tiendas propias, call centers, páginas web, stands comerciales y el canal alternativo. En todos ellos se pueden desarrollar procesos de duplicado y activación SIM, especialmente en los presenciales. Para solventar ciertos aspectos, las compañías suelen optar por definir ciertas pautas y diferentes formas de proceder según el tipo de canal.

    Esto podría parecer resolver cierta problemática en relación al SIM Swapping, pero resulta en el efecto contrario. Los agentes comerciales de los diferentes canales no siempre tienen la misma información ni las herramientas para realizar ciertos procesos, resultando en ineficiencias y, en ocasiones, fallos en el cumplimiento de los dos grandes retos que antes mencionamos.

    Por lo tanto, la compañía está delegando en estos comerciales la responsabilidad, aunque, a fin de término, ella es la última responsable de lo sucedido en estos procesos.

    Herramientas digitales para combatir el SIM Swapping

    El desarrollo de software y plataformas digitales innovadoras ha supuesto un cambio trascendental para los casos de uso más importantes en todas las industrias

    El sector de las telecomunicaciones, referente en lo que respecta a la innovación en tecnología, ha sabido sacar provecho de las soluciones ofrecidas por partners expertos en estas materias para incorporar en sus sistemas herramientas que, por un lado, eliminen cualquier tipo de riesgo y problemática en su actividad y operaciones diarias y, por otro, impulsen su actividad pudiendo ampliar su oferta de productos y servicios desplegando su red con total confianza sin impactar a sus equipos de IT.

    Estas plataformas digitales son capaces no sólo de gestionar los procesos de expedición, duplicado y activación de tarjetas SIM de una forma ágil y automatizada, sino de prevenir cualquier intento de SIM Swapping, entre otros muchos casos de uso cruciales y diarios de las compañías del sector telco.

    En cualquiera de los casos, e independientemente de que se realicen en cualquier tipo de canal propio o alternativo, la responsabilidad recaería entonces en el sistema de verificación de identidad provisto por un tercero, y no en la compañía de telecomunicaciones o en su agente comercial o colaborador de canal alternativo.

    Combate el SIM Swapping con una plataforma ágil y segura

    Estos sistemas hacen uso de herramientas ya utilizadas en los procesos pulidos y testados de onboarding digital con controles exhaustivos vistos en otras industrias tan delicadas como la financiera, el sector bancario, asegurador y relacionados. 

    Primero, se recoge una serie de datos del cliente en función del canal de venta, pero siempre con la misma plataforma, y posteriormente se verifica la identidad con técnicas del ya conocido KYC (Know Your Customer) que se ajustan para aplicarse en las operaciones del sector telco adaptado a sus necesidades y circunstancias concretas. Esto se realiza de una forma ágil y en segundos gracias a su diseño.

    En un modelo operativo que cuenta con este tipo de soluciones facilitadas por una plataforma digital holística y perfectamente integrada en los sistemas propios de la compañía se obtiene un doble beneficio:

    • Las telcos están seguras de que no recibirán ningún tipo de multa por las instituciones ya que es un tercero el que realiza el procedimiento por ellas con seguridad y conforme a los estándares técnicos y regulatorios más exigentes,
    • y los usuarios pueden estar tranquilos de que en ningún caso serán jamás víctimas de un fraude por motivos de SIM Swapping por la absoluta fiabilidad de estos sistemas expertos y especializados.

    Las mejores herramientas de SIM Swapping son aquellas que forman parte de una solución integral de gestión de procesos en el canal de venta ya que aseguran que el proveedor de esta es experto en el sector telco. Igualmente, el sistema debe contar con métodos de autenticación basados en biometría como el reconocimiento facial.

    Este tipo de factores son incapaces de ser falsificados o utilizados por los infractores. Además, su rapidez, versatilidad y respaldo legal permiten cerrar procesos que demoran días en minutos, uno de los aspectos más criticados por los clientes y usuarios en el sector de las telecomunicaciones

    Consecuencias del SIM Swapping para los clientes

    Más allá de las obvias consecuencias de ser víctima de un fraude, el SIM Swapping ha impactado en la experiencia que tienen los usuarios a la hora de interactuar con su compañía de telecomunicaciones.

    La respuesta de muchas operadoras ha sido la de limitar cada vez más las formas de realizar un duplicado de SIM, una portabilidad o cualquier proceso relacionado en el que un cliente debe ser identificado debidamente. Esto, está suponiendo la pérdida de clientes y oportunidades comerciales para las compañías.

    Las plataformas digitales holísticas con soluciones para atajar el SIM Swapping no sólo son capaces de prevenir este fraude sino que ayudan a las compañías a diseñar un customer journey pulido, ágil y seguro que se ha diseñado teniendo en cuenta la experiencia del usuario para que este encuentre lo que busca a la hora de interactuar con una compañía telco:

    • Agilidad en los procesos, sin fricciones que hagan que abandone por desidia.
    • Sentimiento de seguridad y garantías.
    • Una oferta de producto y servicio diferencial y a su disposición en cualquier canal de su operador.
    • Percepción positiva en los canales de venta y comunicación de la marca.

    El modelo de negocio de las compañías del sector telco

    Torre de telecomunicaciones

    Invertir tiempo y recursos en desarrollar tecnología avanzada puede llevar a las compañías a modelos ineficientes. La experiencia ha demostrado que las soluciones SaaS de proveedores tecnológicos experimentados han supuesto una revolución en el sector de las telecomunicaciones.

    Las compañías operan en mercados diversos y muy competitivos en los que la capacidad de respuesta inmediata es un punto diferencial para el crecimiento y la sostenibilidad. Esta capacidad de responder ante las necesidades y demandas de los clientes y el negocio ya no es una opción, es una necesidad.

    Así, la forma de posicionarse como líder actualmente en el sector pasa por apostar por equipos dedicados, comprometidos pero ágiles y sin rotación de proveedores externos que desarrollen soluciones basadas en tecnologías ya testadas y utilizadas que puedan integrarse en la estructura del negocio en semanas.

    Esto ha conseguido reducir el time-to-market en despliegues de nueva oferta de una forma antes jamás vista, además de que estas soluciones se adaptan a cada fase del ciclo del negocio y aseguran su escalabilidad futura bajo un modelo pay-per-use.

    Procesos Auto-SIM 100% desatendidos y seguros 

    AutoSIM

    Puestos a destacar una aplicación de las herramientas para hacer frente al SIM Swapping que no sólo tienen esa función como objetivo único, destacaríamos los procedimientos Auto-SIM.

    Esta aplicación ocurre en casos de uso de cualquier tipo, desde un turista que quiere activar una SIM hasta los procesos de portabilidad y transcurre del siguiente modo:

    1. El cliente compra o recibe su tarjeta SIM.
    2. Escanea un código QR o accede a una URL.
    3. Se solicitan datos básicos del cliente que la operadora considere necesarios.
    4. Se solicita el número, el ICCID de la tarjeta antigua si es una portabilidad o duplicado, y el de la nueva y se pueden pedir varios factores de autenticación adicionales para introducir. En el caso de un pospago, se pueden pedir, por ejemplo, los 4 últimos dígitos de la cuenta bancaria.
    5. Se realiza un proceso de verificación de identidad automatizado por vídeo identificación streaming en tiempo real que verifica la legitimidad del documento de identidad y los datos previamente facilitado con más eficacia que un agente humano y cruza esa información con un vídeo donde el usuario realiza una acción (mover cabeza, sonreir…) para comprobar que es quien dice ser bajo los estándares legales y técnicos más exigentes.
    6. Si el punto 5 se realizó correctamente, se hacen llamadas a los sistemas para que se activen los servicios.

    En un proceso semi-atendido, el agente realizaría los cuatro primeros pasos en su plataforma de trabajo y asistiría al cliente ayudándole a realizar el quinto. Sin embargo, las mejores soluciones son capaces de guíar al usuario de forma autónoma a través de una plataforma digital con tasas de conversión superiores al 98%. Igualmente, las plataformas adaptan estos procesos para que sean perfectos para cada tipo de canal comercial (llamada, tienda, online…).

    En ambos canales y modelos, la responsabilidad última de cara a problemáticas relacionadas con el SIM Swapping recaería sobre el usuario infractor y la solución de controles anti-fraude del proceedor tercero. En cualquier caso, si se está intentando cometer una infracción, estos potentes sistemas lo detectarían al instante. En este modelo, la aplicación y el proveedor de esta son quienes dan su visto bueno y certifican el proceso.

    Descubre cómo proteger a tus usuarios del SIM Swapping

    Etiquetas
    Newsletter icon

    El mejor contenido en tu bandeja de entrada

    Ft
    aifintech
    regtech
    etica
    techbehemoths
    finnovating
    ecija

    Servicios de confianza, identidad y automatización

    Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.
    Identidad

    Las soluciones y servicios KYC (Know Your Customer) de Verificación de Identidad por Vídeo, Onboarding Digital y Autenticación (MFA/2FA) permiten a nuestros clientes proporcionar a sus usuarios una experiencia ágil y segura.

    Nuestro software de automatización RPA (Robot Process Automation) permite crear modelos de negocio sostenibles, escalables, productivos y eficientes a través del BPM (Gestión por Procesos de Negocio) para crecer sin límites.

    Digitalización

    La Firma Electrónica Avanzada y Cualificada y los servicios de Comunicación Certificada (Burofax Electrónico) permiten que los procesos de adquisición de clientes, contratación y aceptación que antes tomaban días o semanas sean finalizados y aprobados en minutos o segundos.

    El Customer Onboarding (eKYC), los servicios de Firma Digital (eSignature) y la Prevención del Fraude Automatizada están haciendo posible a las compañías operar online y sin fronteras.

    Confianza

    Como Tercero de Confianza (Trust Services Provider) certificado por la UE y partner RegTech consolidado, ayudamos a las organizaciones a cumplir con los estándares normativos más exigentes de su sector y región, incluyendo las regulaciones AML (Anti-Money Laundering), eIDAS (Electronic IDentification, Authentication and etrust Services), GDPR (Reglamento General de Protección de Datos), SCA (Strong Customer Authentication) o PSD2 (Payment Services Directive) gracias a Controles Anti-Fraude y Verificación de Documentos Tecalis.