Acabo de encontrar un caso bastante extremo que realmente ilustra lo vulnerables que seguimos siendo en el mundo cripto. Nicholas Truglia, un tipo que realizó una estafa de cambio de SIM en 2018, acaba de ver su sentencia de prisión aumentada de 18 meses a 12 años porque se negó a pagar la restitución.

Esto fue lo que ocurrió: Truglia apuntó a Michael Terpin, un inversor en criptomonedas y CEO de Transform Group, usando un ataque de cambio de SIM. Básicamente, convenció a la operadora de transferir el número de teléfono de Terpin a un dispositivo que controlaba, y luego usó ese acceso para vaciar sus fondos en criptomonedas. ¿El resultado? Terpin perdió $24 millón en criptomonedas. El tribunal ordenó a Truglia pagar más de $20 millón en restitución, pero el tipo simplemente desapareció.

Lo que es una locura es que, según la sentencia del juez Alvin Hellerstein en julio, Nicholas Truglia en realidad poseía activos por más de $61 millón. Así que no es que no pudiera pagar, simplemente no lo hizo. Por eso el juez extendió su condena. Cero pagos realizados a pesar de tener más que suficiente para cubrir los daños.

Todo esto se complicó aún más porque Terpin también demandó a AT&T por $224 millón en negligencia, argumentando que nunca deberían haber permitido la transferencia del número. También ganó una demanda civil separada contra Truglia por $75 millón.

Lo que me molesta de este caso es cómo expone el eslabón más débil en nuestra seguridad. El cambio de SIM sigue siendo una de las formas más efectivas de comprometer las criptomonedas de alguien, y no requiere habilidades sofisticadas de hacking, solo ingeniería social. El caso de Truglia demuestra que, incluso con consecuencias legales severas, estos ataques siguen ocurriendo porque la barrera de entrada es muy baja.

Si tienes una cantidad importante de cripto, esto debería ser una llamada de atención. No confíes en la autenticación de dos factores basada en SMS para tus cuentas en exchanges. Usa carteras hardware, aplicaciones de autenticación y contacta a tu operadora para agregar seguridad adicional a tu cuenta. El hecho de que alguien como Truglia pudiera causar tanto daño en 2018 y que todavía veamos ataques similares hoy en día significa que el problema no se ha resuelto, solo se ha vuelto más creativo.