Bajo la operación internacional denominada SIMCARTEL, las autoridades europeas desmantelaron una vasta red ilícita que utilizaba SIM-boxes para ofrecer el alquiler de números telefónicos. Este servicio actuó como una capa de anonimato para el fraude digital, permitiendo la creación de más de 49 millones de cuentas fraudulentas y facilitando más de 3.200 casos de fraude con pérdidas estimadas en al menos 4,5 millones de euros solo en Austria.
Magnitud y Mecanismo del Crimen Organizado
La operación revela una infraestructura de servicio ilícito altamente estructurada que soportaba fraude a escala global.
Escala de la Operación:
- La red operaba con aproximadamente 1.200 dispositivos SIM-box y más de 40.000 tarjetas SIM.
- Las plataformas de alquiler, gogetsms.com y apisim.com, han sido clausuradas.
- Los números estaban registrados en más de 80 países, lo que permitía a los perpetradores realizar ataques que parecían ser locales a la víctima, reduciendo la sospecha.
Crímenes Habilitados: La infraestructura proporcionaba el anonimato necesario para cometer una amplia gama de delitos, incluyendo phishing, estafas con brokers falsos, suplantación de identidad, extorsión y estafas de “envío familiar” a través de WhatsApp.
Economía de la modularidad: Esto no era una operación artesanal, sino un negocio estructurado con logística, mantenimiento y una base de clientes globales. Al ofrecer números “limpios” no vinculados directamente al atacante, el servicio funcionaba como una capa de anonimato muy eficaz en los ecosistemas de fraude digital.
Respuesta y Persistencia: La operación, que involucró redadas y arrestos en varios países, incautó servidores, vehículos y activos financieros. Sin embargo, los atacantes que ya utilizaron el servicio pueden seguir operando; las cuentas fraudulentas ya creadas permanecerán activas hasta que sean detectadas y dadas de baja por las plataformas.
Recomendaciones
Para Plataformas y Servicios (Bancos, Redes Sociales, Apps)
- Verificación Robusta: Evitar confiar únicamente en SMS o llamadas telefónicas para la verificación de identidad (2FA vía SMS). Introducir métodos más robustos (aplicaciones de autenticación, tokens de seguridad).
- Detección de Patrones Anómalos: Implementar lógica de detección para números alquilados. Esto incluye:
- Bloqueos automáticos ante la creación masiva de cuentas.
- Verificaciones adicionales cuando el número provenga de países distintos a la residencia detectada del usuario.
- Monitorear si un número cambia frecuentemente de dirección IP o país de origen detectado.
Para Proveedores de Telecomunicaciones (Operadoras)
- Monitorización de Tráfico: Monitorizar el tráfico inusual de SIMs (uso intensivo de API, mensajes masivos) que pueda indicar el uso de SIM-boxes.
- Control de Lotes: Limitar la cantidad de servicios que una SIM puede operar sin cumplimiento normativo estricto. Verificar la legitimidad del cliente que solicita grandes lotes de SIM.
- Colaboración: Colaborar activamente con autoridades para suspender y congelar números utilizados en actividades fraudulentas.
Para Usuarios y Víctimas Potenciales
- Usar 2FA sin Teléfono: Migrar a métodos de Autenticación de Dos Factores (2FA) que no dependen del número telefónico (como aplicaciones de autenticación o tokens físicos).
- Sospecha: Sospechar cuando las compañías solicitan verificación vía SMS inmediatamente después de un registro. Rechazar compartir tu número con plataformas poco conocidas.
- Reportar: Reportar actividad sospechosa (mensajes inesperados, peticiones de códigos) a tu operador móvil ya las autoridades locales.
