El ​SIM Swapping o duplicado de tarjeta SIM, es un sistema mediante el cual se consigue una copia de la tarjeta SIM con el número telefónico de la víctima, a través de engaños a las ​compañías telefónicas. Con esta información se puede acceder a las cuentas que se encuentren vinculadas a dicho número telefónico (correo electrónico, cuentas de redes sociales, Whatsapp, cuentas bancarias, etc.)
¿Cómo funciona esta técnica? Se ​recopila o utiliza información pública disponible ​sobre la víctima con el fin de engañar a las ​compañías telefónicas​, haciéndose pasar por el ​titular de la línea​, y así convencer al operador de ​bloquear la tarjeta SIM del titular​. Por ejemplo, reportar el robo del teléfono, y que por ello la llamada es desde un número distinto, recalcando la urgencia del bloqueo del número telefónico. Seguidamente, se acude a un puesto o local de reactivación de chip de la compañía telefónica y se hace pasar por la víctima para obtener un duplicado ​de la​tarjeta SIM con el número de teléfono deseado y así suplantar la identidad del titular.
Con el número en su poder, se puede acceder a las cuentas digitales asociadas al número, tales como las cuentas de correo electrónico, redes sociales, Whastapp, cuentas bancarias, entre otros. Esto es posible mediante la funcionalidad de recuperación de contraseña; en la mayoría de las plataformas, una de las opciones de verificación es el envío de un código mediante ​SMS al número de teléfono asociado.
De acuerdo con el Centro de Centro de Respuestas a Incidentes Cibernéticos del Paraguay algunos de los Mecanismos de prevención son :
● Una posible señal de un ataque ​SIM Swapping es perder la señal del servicio telefónico, ante esto se recomienda actuar rápidamente y contactar de inmediato con la compañía telefónica para tener conocimiento sobre lo sucedido.
● No compartir demasiada ​información personal en las redes sociales, ya que esto facilita a los delincuentes la obtención de dicha información, facilitando el proceso de engaño y seguida suplantación.
● Activar la ​autenticación de doble factor​, pero evitando utilizar la opción de SMS y llamada, utilizando otros métodos (correo alternativo o aplicación de generación de códigos). ​. Algunas plataformas no permiten deshabilitarla opción de SMS para la recuperación de cuentas, por lo que serán vulnerables al SIM Swapping.
● Utilizar una ​aplicación de generación de códigos (como ​Google Authenticator​, porejemplo) con la autenticación de doble factor, en vez del envío de SMS o llamadas. Esto, si bien podría reducir el riesgo de acceso a las cuentas vinculadas en algunos casos, no evita todos los problemas, ya que los SMS y llamadas igualmente serán recibidos por el delincuente, y algunas plataformas igualmente permiten SMS como mecanismo de verificación secundario, siendo la vinculación con un número telefónico obligatorio (y recomendable) en muchos casos.
● En el caso de ​WhatsApp​, activar la verificación de dos pasos con esto, cualquier intento de verificación de un número de teléfono en WhatsApp estará acompañado de un PIN de seis dígitos, el mismo puede ser establecido al activar la función, de la siguiente manera: En la aplicación de WhatsApp diríjase a Ajustes/Configuración > Cuenta > Verificación en dos pasos > Activar.
● Ante la duda o indicios de un ataque de ​SIM Swapping​, ​desvincular ​inmediatamente todas las cuentas ligadas al ​número de teléfono​, y vincularla a otro número que no esté comprometido, aunque sea de manera temporal, además de ​cambiar las contraseñas de todas las ​cuentas posiblemente comprometidas​. Como se trata de un ataque manual, desde el momento que el delincuente solicitó el bloqueo y logró el duplicado, suele haber un lapso de varios minutos o incluso horas, durante las cuales es posible actuar.
En cuanto a la verificación por parte de las compañías telefónicas se recomienda robustecer los controles durante los procesos de bloqueo ​y ​reimpresión ​de SIM, asegurándose fehacientemente que quien está reportandolo o solicitándolo es efectivamente el titular. Para ello se debe considerar qué tipo de información o datos personales son fáciles de adivinar, descubrir o suplantar.