‘SIM swapping’, la estafa con la que un estudiante robó $7.5 millones a través de celulares

SAN JOSÉ, California. - Cuando en el verano de 2018 Joel Ortiz se acercó al punto de revisión en el Aeropuerto Internacional de Los Ángeles jamás cruzó por su cabeza que nueve meses después se convertiría en una de las primeras personas en Estados Unidos en ser sentenciado por el delito de ‘SIM swapping’, una modalidad de fraude que consiste en conseguir acceso a los datos de la tarjeta SIM del teléfono celular de la víctima.

Ese fue el método que este pirata informático de 21 años utilizó para robar más de $7.5 millones de por lo menos 40 víctimas en todo el país, incluyendo varias en la región de Silicon Valley. Aquel día, en la terminal aérea de Los Ángeles, al joven estudiante lo esperaban detectives de la policía cibernética del condado de Santa Clara, en California, que forman parte del grupo REACT (Regional Enforcement Allied Computer Team), encargado de combatir crímenes electrónicos en la llamada capital de la tecnología.

Durante varios meses los agentes de REACT le siguieron la pista a Ortiz, quien de acuerdo con los fiscales, llevaba de una vida de lujos que incluía vestir ropa y accesorios de diseñadores, viajar en helicóptero a festivales de música, pagar cuentas de $10,000 en clubes de Los Ángeles y gastar hasta $59,000 en mansiones rentadas en esa ciudad a través de la plataforma Airbnb.

“Estos no son Robin Hoods. Estos son delincuentes que usan una computadora en lugar de una pistola. No se están robando un tipo de moneda experimental o etérea, sino que se están robando fondos de ahorro universitarios, pagos de hipotecas, la vida financiera de sus víctimas”, dijo este lunes el fiscal Erin West, luego de que Ortiz fuera sentenciado el viernes pasado por un juez de la Corte Superior del condado de Santa Clara a 10 años en prisión por robo de identidad y una decena más de delitos cibernéticos.

Entre las decenas de víctimas de Ortiz, dos casos ocurridos con pocos meses de diferencia en el Área de la Bahía fueron los que allanaron el camino para que las autoridades lo pusieran finalmente tras las rejas. Uno tuvo lugar en mayo de 2018, cuando en cuestión de minutos se las ingenió para robar $5.2 millones en criptomonedas de un empresario de Cupertino. Pero fue un atraco mucho menor de monedas Bitcoin el que finalmente abrió la caja de pandora que llevó a los policías cibernéticos a dar con el ‘hacker’ que buscaban.

También a principios de 2018, un residente del condado de Santa Clara contactó a la oficina de REACT para denunciar un caso de robo de identidad. La víctima narró cómo durante el mes de febrero, la compañía de telefonía celular AT&T lo llamó para advertirle que una persona que se había hecho pasar por él había entrado a una sucursal para transferir los datos de su cuenta a una nueva tarjeta SIM. Un mes después, la víctima notó que varias de sus redes sociales habían sido comprometidas y alrededor de $10,000 en Bitcoins se habían esfumado de sus cuentas.

Gracias a ese caso las autoridades descubrieron que una cuenta de correo electrónico de Ortiz había sido usada desde uno de los teléfonos a los que transfirieron la nueva tarjeta SIM. Entre esos datos había, incluso, una fotografía en la que el acusado mostraba su identificación del estado de Massachusetts, lo que llevó a los agentes a dar con cuentas adicionales de criptomonedas vinculadas a Ortiz que revelaban transferencias por casi $1.5 millones.

¿Cómo funciona el 'SIM swapping'?

Para la Fiscalía del condado de Santa Clara, Joel Ortiz se había convertido en un artista del ‘SIM swapping’ que buscaba a víctimas a las que les pudiera robar fácilmente criptomonedas y apoderarse de sus redes sociales para luego venderlas por Bitcoins.

Su 'modus operandi' consistía principalmente en dos pasos: primero conseguía acceso a datos privados que le permitieran convencer a las compañías telefónicas de que él era uno de sus clientes para después transferir (muchas veces en persona) esas cuentas a una nueva tarjeta SIM, que finalmente usaba para tener acceso a la información personal, social y financiera de sus víctimas.

En la forma más común de este fraude, los ‘hackers’ llaman a las compañías de telefonía haciéndose pasar por sus víctimas asegurando que han perdido sus tarjetas SIM y que les gustaría que su número de celular fuera transferido a un nuevo ‘chip’, como también se les conoce a las tarjetas SIM. Para violar las medidas de seguridad de las empresas, los estafadores se valen de números de seguro social robados, así como de direcciones y otros datos que muchas veces obtienen revisando las redes sociales de sus víctimas.

Una vez que la compañía transfiere el número de celular a la nueva tarjeta, los piratas informáticos consiguen acceso a toda la información que la víctima tenga almacenada en su teléfono, incluyendo cuentas bancarias personales y servicios de correo electrónico.

Las autoridades advierten que es común que los ‘hackers’ utilicen la técnica de enviar ‘phishing’ a través de correos electrónicos o publicaciones de cadena en Facebook. Muchas veces, la información personal que obtienen con estos métodos es suficiente para responder a las preguntas de seguridad que los usuarios establecen para proteger sus aplicaciones financieras y redes sociales.

Graduado con honores

El defensor público del condado de Santa Clara, Dennis Dawson, calificó la sentencia de su cliente como “ridículamente elevada”. El adjetivo que empleó no suena descabellado si se toma en cuenta que el Departamento de Libertad Condicional del condado había recomendado de manera inicial una pena de tan solo un año en prisión.

De acuerdo con la Fiscalía, Joel Ortiz se graduó con honores de una preparatoria de Boston y actualmente estudiaba en la Universidad de Massachusetts con una beca completa. Pero para su defensa, el ‘hacker’ lejos de ser un criminal con malicia, era más bien víctima de las circunstancias y de su propia inocencia, un joven diagnosticado desde niño con autismo, deficiencias de desarrollo y sin amigos, salvo aquellos que conoció en internet y que eventualmente lo orillaron a involucrarse en la estafa.

“Le dieron el trabajo más difícil y en el que era más fácil que lo atraparan”, dijo Dawson. El abogado agregó que su cliente proviene de una familia de bajos recursos y vivió con su madre en una vivienda de la Sección 8 mientras estudiaba el colegio comunitario.

Durante las audiencias previas a la sentencia, los fiscales presentaron como evidencia ante el juez un sinnúmero de imágenes publicadas en redes sociales que mostraban el despilfarro y la vida de lujos y excesos que Ortiz llevaba a costa del dinero robado. Su abogado indicó que, al tratarse de un crimen no violento, todos esos gastos no debieron haber afectado la condena.

“Eso es lo que hacen los chicos. Ponen todo en Instagram, quieren verse ‘cool’. Cuando eres un niño nerd con problemas de desarrollo como Joel, verte ‘cool’ es probablemente una de tus metas”, señaló Dawson.

Al momento de su arresto, los investigadores lograron decomisar $400,000 en poder de Ortiz. El resto, según la Fiscalía, la mantiene escondido o ya fue gastado.