Es posible que Estados Unidos haya descubierto el esquema de «intercambio de SIM» más grande del país hasta el momento, acusando a un hombre de Chicago y a sus cómplices de supuestamente robar 400 millones de dólares en criptomonedas apuntando a más de 50 víctimas en más de una docena de estados, incluida una empresa.
Una acusación reciente alegaba que Robert Powell, que utilizaba los apodos en línea «R», «R$» y «ElSwapo1», era el «jefe de un grupo de intercambio de SIM» llamado «Powell SIM Swapping Crew». Supuestamente conspiró con el hombre de Indiana Carter Rohn (también conocido como «Carti» y «Punslayer») y la mujer de Colorado Emily Hernandez (supuestamente también conocida como «Em») para obtener acceso a los dispositivos de las víctimas y «llevar a cabo ataques fraudulentos de intercambio de SIM» entre marzo de 2021 y Abril de 2023.
Los ataques de intercambio de SIM ocurren cuando alguien induce fraudulentamente a un proveedor de servicios inalámbricos a «reasignar un número de teléfono celular de la tarjeta SIM del suscriptor o usuario legítimo a una tarjeta SIM controlada por un actor criminal», según la acusación. Una vez que se produce el intercambio, el mal actor puede anular las protecciones de autenticación multifactor y acceder a cuentas en línea para robar datos o dinero.
El equipo acusado de Powell supuestamente utilizó impresoras de tarjetas de identificación para falsificar documentos y luego se hizo pasar por víctimas visitando tiendas minoristas de Apple, AT&T, Verizon y T-Mobile en Minnesota, Illinois, Indiana, Utah, Nebraska, Colorado, Florida, Maryland, Massachusetts, Texas. Nuevo México, Tennessee, Virginia y el Distrito de Columbia.
Según la acusación, muchas de las presuntas víctimas no sufrieron pérdidas financieras, pero las que sí las sufrieron supuestamente sufrieron un duro golpe. El más afectado parece ser un empleado de una empresa cuyo dispositivo AT&T fue supuestamente requisado en una tienda minorista de Texas, lo que resultó en la presunta transferencia de más de 400 millones de dólares de la empresa del empleado a las cuentas financieras de los co-conspiradores. Otras víctimas individuales supuestamente perdieron criptomonedas valoradas entre 15.000 dólares y más de 1 millón de dólares.
Los co-conspiradores son acusados de enmascarar fondos robados, a veces supuestamente ocultando transferencias en billeteras de moneda virtual no alojadas o autohospedadas. Si es declarado culpable, se deben confiscar todos los fondos robados, según la acusación.
Powell ha sido acusado de conspiración para cometer fraude electrónico y conspiración para cometer robo de identidad agravado y fraude de dispositivos de acceso, dijo el agente especial Brent Bledsoe en la acusación. Este viernes, Powell se enfrenta a una audiencia de detención, donde el Servicio de Alguaciles de Estados Unidos le ha ordenado que comparezca en persona.
El abogado de Powell, Gal Pissetzky, dijo a Ars que Powell no tiene comentarios sobre la acusación en este momento.
¿Los intercambios de SIM aumentan en EE. UU.?
Cuando el supuesto plan de Powell comenzó en 2021, el FBI emitió una advertencia, señalando que los delincuentes utilizaban cada vez más ataques de intercambio de SIM, lo que provocó pérdidas totales ese año de 68 millones de dólares.
Desde entonces, las autoridades estadounidenses han realizado varios arrestos, pero ninguno de los esquemas descubiertos se acerca a las supuestas pérdidas de los robos de los que se acusa a la tripulación de Powell.
En 2022, un hombre de Florida, Nicholas Truglia, fue sentenciado a 18 meses por robar más de 20 millones de dólares a una sola víctima. Además de perder los fondos robados, a Truglia también se le ordenó confiscar más de 900.000 dólares como sanción penal. Según el bloguero de seguridad Brian Krebs, Truglia estaba conectado con un grupo que supuestamente robó 100 millones de dólares mediante ataques de intercambio de SIM.
El año pasado hubo algunos arrestos notables. En octubre, el Departamento de Justicia condenó a un hacker, Jordan Dave Persad, a 30 meses de prisión por robar casi un millón de dólares a «docenas de víctimas». Y en diciembre, cuatro hombres de Florida recibieron sentencias de entre ocho y 27 meses por robar más de 509.475 dólares en ataques de intercambio de SIM.
Ars no pudo encontrar ninguna advertencia del FBI desde 2021 que generara conciencia de que las pérdidas por ataques de intercambio de SIM pueden estar aumentando aún más hasta cantidades tan sorprendentes como las supuestas pérdidas en el caso de Powell.
Un funcionario del Departamento de Justicia no pudo confirmar si este es el mayor esquema de intercambio de SIM alegado en los EE. UU., y dirigió a Ars a otra oficina. Ars actualizará este informe con cualquier información nueva que proporcione el DOJ.
Los funcionarios estadounidenses parecen conscientes de que algunos de los malos actores que intentan ataques de intercambio de SIM parecen volverse más audaces. A principios de este año, la Comisión de Bolsa y Valores fue blanco de un ataque que se apoderó de la cuenta de la agencia en X, anteriormente conocida como Twitter. Ese ataque llevó a una publicación X engañosa que anunciaba falsamente la aprobación de fondos cotizados en bolsa de bitcoin, lo que provocó un breve aumento en el precio de bitcoin.
Para proteger a los consumidores de los ataques de intercambio de SIM, la Comisión Federal de Comunicaciones anunció el año pasado nuevas reglas para «exigir a los proveedores de servicios inalámbricos que adopten métodos seguros para autenticar a un cliente antes de redirigir el número de teléfono de un cliente a un nuevo dispositivo o proveedor. Las nuevas reglas requieren que los proveedores de servicios inalámbricos notificar inmediatamente a los clientes cada vez que se realice un cambio de SIM o una solicitud de transferencia en las cuentas de los clientes y tomar medidas adicionales para proteger a los clientes del fraude de intercambio y transferencia de SIM». Pero una revisión de Ars encontró que estas nuevas reglas pueden ser demasiado vagas para ser efectivas.
En 2021, cuando las autoridades europeas desmantelaron una red de intercambio de SIM que supuestamente apuntaba a personas de alto perfil en todo el mundo, Europol aconsejó a los consumidores que evitaran convertirse en objetivos. Los consejos incluyeron usar autenticación multifactor, resistirse a asociar cuentas confidenciales con números de teléfonos móviles, mantener los dispositivos actualizados, evitar responder correos electrónicos sospechosos o personas que llaman solicitando información confidencial y limitar los datos personales compartidos en línea. Los consumidores también pueden solicitar la configuración de seguridad más alta posible a los operadores de telefonía móvil y se les anima a utilizar siempre PIN o contraseñas de seguridad más sólidas y largas para proteger los dispositivos.