Polonia desmantela banda de SIM swapping con millones en cripto robados
Resumen rápido
Las autoridades polacas han detenido a cuatro individuos vinculados a un grupo criminal organizado que operaba mediante ataques de intercambio de SIM. El grupo accedía ilegalmente a sistemas de operadoras de telecomunicaciones y comprometía cuentas de correo electrónico para redirigir líneas móviles y vaciar carteras de criptomonedas. Las pérdidas acumuladas ascienden a varios millones de euros.
Polonia detiene a cuatro miembros de una banda especializada en SIM swapping
La policía polaca ha ejecutado una operación que ha culminado con la detención de cuatro personas presuntamente integrantes de un grupo delictivo dedicado al robo de criptomonedas mediante técnicas de SIM swapping. La investigación revela un modus operandi sofisticado que combinaba el acceso no autorizado a infraestructuras de compañías de telecomunicaciones con el compromiso previo de cuentas de correo electrónico de las víctimas.
Cómo funcionaba el esquema
El SIM swapping consiste en conseguir que el operador de telefonía transfiera el número de móvil de una víctima a una tarjeta SIM controlada por los atacantes. A partir de ese momento, cualquier mensaje SMS de verificación —incluyendo los códigos de doble factor de autenticación de exchanges y carteras de criptomonedas— llega directamente a manos de los criminales.
En este caso, los detenidos no dependían únicamente de técnicas de ingeniería social sobre los empleados de las operadoras: según la investigación, lograron penetrar en sistemas internos de socios de telecomunicaciones, lo que les otorgaba un acceso más directo y difícil de detectar para llevar a cabo las transferencias de línea. El compromiso previo de cuentas de email era el paso inicial que les permitía recopilar información suficiente para autenticar cada solicitud de cambio de SIM.
Alcance económico del fraude
Las pérdidas atribuidas al grupo se cuentan en varios millones de euros en activos digitales sustraídos a distintas víctimas. Aunque la investigación no detalla públicamente el número exacto de afectados, la magnitud del perjuicio económico refleja el alto rendimiento que este tipo de operaciones puede generar para el crimen organizado cuando se tienen accesos privilegiados en el sector de las telecomunicaciones.
Por qué este caso importa más allá de Polonia
La particularidad de esta banda radica en que el vector de ataque no se limitó al engaño a empleados individuales, sino que implicó la infiltración directa en sistemas de proveedores. Esto eleva considerablemente el nivel de riesgo para cualquier organización que dependa del SMS como segundo factor de autenticación, y subraya la necesidad de migrar hacia métodos de autenticación más robustos —como aplicaciones TOTP o llaves de hardware— especialmente en entornos con activos de alto valor como exchanges de criptomonedas.
El caso recuerda, además, que la cadena de confianza en las telecomunicaciones puede ser un punto de entrada crítico: comprometer a un socio o proveedor de menor tamaño puede tener consecuencias en toda la red de clientes.
¿Estás cubierto en DefensOps?
Aunque este incidente no tiene asociado un CVE específico, los patrones de comportamiento que caracterizan el SIM swapping —accesos inusuales a cuentas, cambios de credenciales en cadena, inicios de sesión desde ubicaciones o dispositivos nuevos tras una reautenticación por SMS— son detectables mediante correlación de eventos.
El motor de correlación de DefensOps (disponible desde el plan Essential) permite identificar anomalías en los flujos de autenticación y alertar ante secuencias sospechosas que podrían indicar que una cuenta ha sido comprometida tras un intercambio de SIM. Combinar esta capacidad con políticas de autenticación multifactor resistentes al phishing reduce significativamente la superficie de exposición.
👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps.
Fuente: BleepingComputer — Poland busts SIM-swapping gang tied to millions in crypto theft
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.