En California un hombre ha denunciado a su compañía telefónica alegando que algunos de sus empleados permitieron que hackers le robasen todos sus ahorros al permitirles el acceso a su número de teléfono.
Los empleados son sobornados
Los hackers consiguieron acceder a datos comprometidos de la víctima con los que pudieron robar de sus cuentas 1,8 millones de dólares en criptomonedas.
La víctima, Seth Shapiro, explicó que estos empleados permitieron que los hackers transfiriesen su número de teléfono hacia otro dispositivo móvil. Este movimiento comprometió su información personal y financiera junto a todos sus fondos.
SIM swapping
A este proceso fraudulento con el que los hackers están consiguiendo suculentos trofeos se le ha llamado «SIM swapping» (intercambio de SIM). El SIM swapping les permite el acceso a toda la información que esté vinculada al número telefónico como correo electrónico, fotos y aplicaciones, entre otros.
Para poder realizar este cambio el estafador necesita tener información personal de la persona. Con esta información llama a la compañía suplantando su identidad y solicita que el número se transfiera a una nueva tarjeta SIM ya en su posesión.
Si este proceso sale como espera, el hacker pasa a tener el control sobre el número y con ello las comprobaciones de autenticación dual que protegen las cuentas confidenciales del verdadero usuario. Al tener todo el control puede cambiar las contraseñas, bloquear al afectado, e incluso, robarle.
Una de las peores pesadillas
Shapiro, un ejecutivo de cripto, específicamente el jefe de estrategia de VideoCoin, presentó una demanda contra el Tribunal de Distrito de los EEUU para el Distrito Central de California el pasado 17 de Octubre.
El afectado comentó que esta puede ser una de las peores pesadillas de cualquiera que pase por la misma situación y que al sucederle a él, supuso que muchos ya habrían pasado por lo mismo.
Investigaciones previas
Según las acusaciones de Shapiro los propios empleados de la compañía son los culpables de la tragedia y los registros de chat de los hackers lo demuestran.
FOX11 había estado investigando durante los últimos meses y decidió rastrear a uno de los empleados de la compañía, Verizon, acusado de ayudar a los ‘intercambiadores de SIM’ a cambio de compensaciones.
Shapiro cuenta lo sucedido
Shapiro explicó que le cambiaron su tarjeta SIM en 4 ocasiones, de las cuales dos el mismo día.
Mientras se encontraba en su cuarto de hotel durante una estancia en Nueva York notó como su teléfono móvil se apagó repentinamente. Sospechó que alguien se había apoderado de su SIM porque había oído hablar de alguien a quien ya le había sucedido. Por lo que no dudó en apresurarse a pedirle el teléfono a otra persona para llamar a su compañía y pedir que desconectasen su número.
Según cuenta, seguidamente corrió a una tienda física de la compañía. Los empleados le sugirieron que comprase otro smartphone para trasladar su número.
El pidió que le asegurasen que no iban a permitir que su número fuese cambiado nuevamente pues literalmente «es la vida financiera o la muerte de mi familia». Los empleados afirmaron estar monitoreando, entonces activaron su número y aún estando en la tienda AT&T volvió a suceder. Su teléfono volvió a apagarse y, desafortunadamente, fue entonces cuando todos sus fondos, los ahorros de toda la vida, fueron robados.
Una vez más su SIM había sido cambiada y en apenas algunos minutos los hackers consiguieron transferir todos sus fondos que ascendían a $1,8 millones en criptomonedas. Los hackers restablecieron las contraseñas de sus distintas cuentas en exchanges de criptomonedas. Algunas de las plataformas en las que Shapiro tenía fondos son KuCoin, Coinbase, Bitfinex, Bittrex, LiveCoin, Wax, Huobi, Coss.io, Crytopia, HitBTC y Liqui.
Los hackers no solo consiguieron acceder a sus cuentas personales sino que consiguieron el acceso a cuentas que controlaba en nombre de su empresa comercial.
El total de los fondos robados fueron transferidos de las cuentas de Shapiro hacia cuentas de los propios delincuentes.
La fiesta no duró mucho tiempo
Uno de los malhechores es Joel Ortiz, un hombre de Boston que ha conseguido unos $5 millones al realizar la misma operación de cambio de SIM de 40 personas. El sr. Ortiz, quien se encuentra en la prisión de San Quintín, fue arrestado en LAX y enfrenta una condena de 10 años.
Registro del chat de los hackers
Entre sus declaraciones Shapiro comenta lo afortunado que fue que el gobierno federal encontrase registros de chat en que los hackers comentaban lo que estaban haciendo en aquel momento.
En los chats los hackers discuten el reinicio del correo electrónico de Shapiro, comentan que encuentran sus criptomonedas e incluso comentan su valor y cómo piensan dividirlas.
El chat también muestra su conversación en el momento en que Shapiro trataba de recuperar el control de su número de teléfono desde la tienda de AT&T. En ese momento uno de ellos comenta que «su chico» lo detendrá y que «su chico» es un supervisor.
Dos detenidos más
La demanda menciona a algunos empleados de la compañía, entre ellos Robert Jack y Jarrat White quienes trabajaron sus tiendas en Arizona en 2018. Ambos empleados se encuentran actualmente entre rejas. Fueron acusados de fraude electrónico por permitir que se realizasen este tipo de delitos.
Jack fue acusado de participar en 12 intercambios de SIM no autorizados. White fue un poco más lejos, se sospecha que participó en 29 intercambios de SIM con los que se alcanzó un botín aproximado de 2 millones de dólares de sus víctimas.
Consecuencias para Shapiro
Shapiro enfatiza que para los hackers ha sido muy fácil «obtener efectivamente el control de su vida», solo han tenido que sobornar a los empleados de AT&T.
También lamentó las consecuencias que ha traído a su familia. Tras el incidente su esposa se ha visto forzada a volver a trabajar y sus dos hijos se han quedado sin el dinero que iba a destinarse a pagar sus carreras universitarias. Recientemente habían vendido la casa en la que vivían y estaban en proceso de comprarse otra, que ya no pueden permitirse. Según cuenta viven mes a mes y esperan que se haga justicia.
Shapiro relata lo sucedido como una pesadilla de la que no puede despertar. Llevan 17 meses en esta situación que les ha generado ansiedad, depresión y horror.
Shapiro se mostró indignado ante la situación y dijo » es absolutamente inaceptable que AT&T no enfrente ninguna responsabilidad» frente a los sucedido.
El afectado está intentando asegurarse de que esto no vuelva a sucederle a más gente.
AT&T responde con un comunicado
Mediante un comunicado AT&T anunció que disputa las acusaciones de Shapiro y facilitó un enlace que explica cómo sus clientes pueden defenderse de este tipo de ataques.
En la página web oficial de la compañía telefónica dicen que están «mejorando continuamente las medidas de seguridad«. Entre estas mejoras está la de construir nuevas herramientas para dificultar la suplantación de identidad para poder identificar más fácilmente a los presuntos ladrones durante las transacciones en línea y mejorar la capacitación para empleados y clientes.
Además, la compañía incentiva a los clientes a agregar medidas de seguridad adicionales a sus cuentas para que estás estén más protegidas mediante códigos de acceso único. Este código evitará que se pueda realizar ningún cambio significativo sin él.