Els bancs podrien haver de buscar alternatives més segures als missatges de text o SMS per confirmar identitats o acceptar operacions dels seus clients. Aquesta mesura estaria motivada per l’aprovació d’una proposició en el Congrés dels Diputats per la qual s’instarà al govern espanyol a requerir a les entitats bancàries a oferir mitjans d’autenticació de doble factor alternatius a aquests missatges en el mòbil. I és que tot és a causa d’una nova classe de conducta fraudulenta que compromet l’ús d’aquesta doble autenticació. És el que es coneix com a SIM-swapping, que consisteix a obtenir duplicats de les targetes SIM sense el consentiment del propietari del telèfon mòbil.
Aquest mètode -segons ha explicat en una nota de premsa la companyia tecnològica Veritran– cada vegada s’està estenent més. En concret, el ciberdelinqüent suplanta primer la identitat de la víctima per aconseguir el duplicat de la seva targeta SIM i després aconsegueix accedir a la seva informació personal. L’empresa ha alertat que aquesta bretxa de seguretat és especialment rellevant en el sector bancari, on ja s’estan donant molts casos i la informació exposada és molt delicada.
Un problema detectat pel Banc d’Espanya
En la Memòria de Reclamacions del 2021 del Banc d’Espanya apareix destacada aquesta nova tècnica de delinqüència, el que demostra que no ha estat un recull de fets aïllats sinó que la tendència a utilitzar aquest mètode és creixent i, per tant, es podria convertir en un crim quotidià que afectaria milers i milers de persones. Pel que fa a les dades més recents, l’Agència Espanyola de Protecció de Dades va iniciar cinc expedients sancionadors a diverses companyies de telefonia mòbil el 2022. Les sancions van arribar als 3,94 milions d’euros, per no haver protegit prou els seus usuaris davant del SIM-swapping i haver permès el duplicat de targetes SIM dels seus clients sense verificar-ne la identitat.
Una solució que ofereix la tecnologia
Veritran ha posat sobre la taula aquest problema, però també ha volgut demostrar que la tecnologia ens apropa a trobar-hi una solució. El soft-token, per exemple, és un mètode de validació addicional a través d’una OTP (One Time Password) o contrasenya d’un sol ús, que intensifica els nivells de protecció dels usuaris a l’hora d’autoritzar l’ús o accés al seu compte mitjançant el dispositiu verificat. També les notificacions push -conegudes pel seu ús en els mitjans de comunicació digitals- poden facilitar un nou control a l’usuari, ja que sol·liciten la seva aprovació per mitjà notificacions en la mateixa aplicació i de manera instantània.
