Un exgerente de una empresa de telecomunicaciones en Nueva Jersey se ha declarado culpable de conspirar para aceptar dinero a cambio de realizar intercambios de SIM no autorizados, lo que facilitó a un cómplice el pirateo de cuentas de clientes.
El SIM swapping implica la transferencia no autorizada del número de teléfono de una persona a otra tarjeta SIM o chip eSIM controlado por el atacante. Este tipo de ataques suelen llevarse a cabo mediante ingeniería social dirigida a agentes de atención al cliente o personas con acceso privilegiado en empresas de telefonía móvil.
El objetivo de estos ataques es tomar el control del número de teléfono del objetivo para recibir contraseñas de un solo uso (OTP) enviadas por SMS como parte de la autenticación de dos factores en cuentas en línea. Al recibir estos códigos, los atacantes pueden acceder a las cuentas del objetivo utilizando credenciales robadas, comúnmente obtenidas a través de phishing u otras filtraciones de datos.
A pesar de las medidas implementadas por los proveedores de servicios de telecomunicaciones para prevenir este tipo de eventos, el exgerente de TI, Jonathan Katz, abusó de su posición y cuenta privilegiada en una tienda de telecomunicaciones móviles para realizar portabilidades numéricas no autorizadas.
Según documentos judiciales publicados por el Departamento de Justicia de Estados Unidos (DoJ), Katz (también conocido como «Luna») llevó a cabo los intercambios de SIM entre el 10 y el 20 de mayo de 2021, mientras ejercía como gerente en una empresa de telecomunicaciones.
Estos intercambios afectaron a cinco víctimas en Wyoming, Nueva Jersey, California y Tennessee, según los documentos judiciales de diciembre de 2021. Las acciones de Katz permitieron a su cómplice tomar el control de los números de teléfono móvil de las víctimas y obtener acceso a cuentas, incluyendo correos electrónicos, redes sociales y billeteras de criptomonedas.
Katz recibió $1,000 en Bitcoin por cada intercambio de SIM (un total de $5,000), además de un porcentaje no especificado de las ganancias obtenidas por el acceso ilegal a los dispositivos de las víctimas. En consecuencia, Katz enfrenta una sentencia máxima de cinco años de prisión y una multa de hasta $250,000, o el doble de la ganancia o pérdida financiera del delito.
La sentencia está programada para el 16 de julio de 2024.