SIM Swap API

En la era digital, donde la identidad y las transacciones se autentican cada vez más a través del teléfono móvil, proteger la integridad de la tarjeta SIM de sus clientes es fundamental. SIM Swap API de Plusmo es su herramienta esencial para la verificación de identidad en tiempo real, actuando como un escudo protector contra una de las técnicas de fraude más sofisticadas y difíciles de detectar: el SIM Swapping.
Mas información

¿Qué es el fraude SIM Swap y por qué es una amenaza crítica?

El SIM Swapping (o "intercambio de SIM") es un tipo de ataque de ingeniería social en el que un delincuente logra convencer a un operador de telefonía móvil de transferir el número de teléfono de la víctima a una nueva tarjeta SIM bajo su control. Una vez que el estafador posee el número, puede interceptar llamadas, mensajes de texto y, lo más importante, los códigos de verificación de un solo uso (OTP) que se utilizan para la autenticación de dos factores (2FA) en cuentas bancarias, billeteras digitales y plataformas de comercio electrónico.

Este tipo de fraude es especialmente peligroso porque el atacante ya tiene credenciales de acceso robadas (como nombre de usuario y contraseña) y solo necesita el control del número de teléfono para tomar control total de la cuenta.

 Informar y verificar: SIM Swap API de Plusmo

Nuestra API no solo le informa, sino que verifica directamente y al instante la historia reciente de la tarjeta SIM de cualquier número de teléfono móvil.

Esta acción de verificación en tiempo real es la clave para frustrar un ataque de SIM Swapping justo en el momento en que se está ejecutando.
¿Qué datos clave brinda nuestra API?
SIM Swap AP de Plusmo ejecuta una consulta directa y segura con los operadores móviles, brindando una respuesta concisa y determinante que se integra inmediatamente en su flujo de validación. Los tres puntos de información críticos que usted recibe son:
Informar
 Informa si la tarjeta SIM asociada a ese número ha sido cambiada o reemplazada en los últimos 90 días. Si se detecta un cambio reciente, es una señal de alerta máxima.
Portabilidad
Confirma si el cliente ha cambiado de operador móvil (portabilidad) en el mismo periodo. Si bien esto es una operación legítima, su combinación con otros factores de riesgo puede indicar una actividad sospechosa.
Validez
 Verifica si el número de teléfono móvil consultado es válido y está activo en la red.
*La API brinda esta información al instante.
Mas información

¿Cómo funciona la validación en tiempo real?

La integración de SIM Swap API de Plusmo es fluida y se ejecuta de forma silenciosa en el backend de su aplicación o plataforma, sin generar fricción en la experiencia del usuario legítimo.

Escenario de ataque y defensa:

  • Inicio de operación de alto riesgo: el estafador inicia sesión con éxito en la aplicación del banco (por ejemplo, usando credenciales robadas) e intenta realizar una operación crítica como una transferencia bancaria o un cambio de la clave de acceso.

  • Activación de la validación: en el momento en que el estafador hace clic en "Confirmar", su sistema dispara una consulta a la API SIM Swap de Plusmo, enviando el número de teléfono del cliente asociado a la cuenta.

  • Consulta a operadores móviles: la API se conecta con los sistemas de los operadores móviles para obtener la información más reciente sobre el historial de la tarjeta SIM para ese número.

  • Respuesta instantánea: la API de Plusmo devuelve la respuesta. Si la respuesta indica un SIM Swap detectado en los últimos 90 días, se activa la bandera roja.

  • Negación del fraude: su sistema, al recibir la señal de riesgo, niega la operación (incluso si el estafador intenta ingresar un código OTP que interceptó) y la marca como fraudulenta, protegiendo los fondos de su cliente.

Beneficios clave de integrar Plusmo
Reducción de pérdidas por fraude: minimice las pérdidas financieras asociadas al fraude de toma de control de cuenta (ATO).
Mejora de la tasa de detección: identifica ataques de SIM Swapping que las validaciones 2FA tradicionales fallan en detectar.
Cumplimiento normativo: fortalece sus protocolos de seguridad y cumplimiento con regulaciones contra el fraude.
Mejor experiencia del cliente: proteja a sus usuarios sin introducir pasos de verificación engorrosos o CAPTCHAs adicionales.

Preguntas Frecuentes

¿Qué hace exactamente SIM Swap API?
La API consulta directamente con el operador de telefonía móvil para verificar si el número de teléfono asociado a una cuenta ha cambiado de tarjeta SIM (SIM Swap) o de operador (portabilidad) en los últimos 90 días. También verifica que el número sea válido y esté activo.
¿Por qué 90 días? ¿Es un periodo configurable?
El periodo de 90 días es el estándar de la industria y la ventana de tiempo más crítica para detectar el fraude de SIM Swap. En la mayoría de los casos, un estafador intentará usar el número robado poco después de obtenerlo. Este periodo no es configurable, ya que es la información provista por los operadores.
¿La API requiere que mi cliente instale algo o de algún permiso?
No. SIM Swap API de Plusmo funciona a nivel de backend, consultando la información del número de teléfono directamente con los operadores. Es totalmente invisible para el usuario final y no requiere ninguna acción, instalación o permiso adicional por parte de su cliente.
¿Es compatible con todos los operadores móviles?
La API de Plusmo trabaja con una red amplia y creciente de operadores móviles en diversas regiones del mundo. Al momento de la integración, se le proporcionará una lista detallada de la cobertura para su mercado objetivo.
¿Cómo se diferencia SIM Swap API de la autenticación 2FA tradicional?
La autenticación de dos factores (2FA) por SMS asume que solo el cliente legítimo tiene el control de su teléfono móvil. Sin embargo, el fraude SIM Swap anula el 2FA, ya que el estafador intercepta el código OTP. La API SIM Swap actúa antes de enviar el OTP, verificando la integridad del número para asegurarse de que el dispositivo que recibirá el código es de hecho el del cliente legítimo.
¿Qué pasa si el cliente cambió su tarjeta SIM de forma legítima?
Si un cliente ha reportado la pérdida de su teléfono y recibió un reemplazo de SIM legítimo, la API lo reportará. En este caso, la institución puede optar por aplicar una política de riesgo temporal, como un límite de transferencia más bajo o un periodo de espera de 24 horas para operaciones de alto riesgo, hasta que el periodo de riesgo del SIM Swap haya expirado. Esto equilibra la seguridad y la usabilidad.