Ledger Nano S

Ya pensando mal, alguien que conoce a alguien que trabaja en una tienda física de Movistar?
A alguien se le puede caer el pelo.

Es lo que pienso yo. Alguien desde dentro.
Hoy se han puesto en contacto conmigo del departamenro de fraude de Movistar. No pueden hacer nada. Ni me pueden decir en que tienda se ha sacado la SIM. La única manera seria que esa informacion la solicitase un juez. La semana que viene hare la denuncia en la policia, a ver si por ahi logro algo.

Edito. Por cierto, el acceso a mi correo se hizo desde estados unidos. Un VPN imagino.
Saludos!

Es muy importante tener los correos con 2fa, por supuesto no de SMS, y no dejar los exchanges ni demás plataformas con la opción de verificación por SMS.

La mayoría de problemas viene por ahí.

Con el autentificado de Google no tienes el problema de que te vinculen otro dispositivo como en Authy, por eso me gusta mucho más.

Muy de acuerdo con el tema del SMS. De todos modos, como comenté en un post más arriba, me quedé muy tranquilo con el proceso que seguía movistar para el duplicado de SIM.
Antes usaba google authenticator y pasé a authy precisamente por la opción de multidispositivo (que tienes opción de bloquear si lo deseas).

El autentificado de Google lo puedes tener también en varios dispositivos, pero no es posible crear cuentas a distancia, necesitas el dispositivo antiguo para escanear el nuevo.

Si, pero siempre pienso que puedo perder o romper el movil y luego es un lio recuperar las cuentas de nuevo.

Por si pierdes el teléfono tienes tres opciones:

• Copias los código de generación de las cuentas cada vez que las vas creando, así las puedes recuperar en un dispositivo nuevo.

• Tienes tus cuantas en dos dispositivos, si pierdes uno, tienes el otro, para eso puedes importar tus cuentas a otros dispositivo en 10 segundos.

• Las dos anteriores no son excluyentes.

A mi me pasó eso con el anterior teléfono y es una jodienda de mucho cuidado. Ahora hago lo que dice Dalai siempre.

Me mirare el tema de google. Ha sido siempre asi? Creo recordar que me pase a Authy por el tema del multidispositvo.
Los codigos los tengo todos impresos, nunca me han hecho falta la verdad. Revisaré que no me falte ni guno.
Gracias.
Saludos

No, al principio no era así, por eso mucha gente pasó a Authy.

Madre mía, como está el patio. Me alegro mucho @goldback de que no hayan conseguido nada. Imagino que falsificarían el DNI. No creo que en una tienda de móviles estén a mirar con lupa el carné y encima con gente haciendo cola, mascarilla, etc. Ojo que no es una justificación para Movistar, solo que si eres caco creo que falsificar un DNI no es lo más arriesgado que puedes hacer.

Como dice @Dalai, desde hace un tiempo Google Auth te permite pasar cuentas de un dispositivo a otro y es muy cómodo. Puedes tener tus 2FA en una tablet o incluso en un móvil viejo para porsiaca. Me estaba yo pensando pasar de Google Auth a Aegis, para terminar de irme de Google, pero visto lo visto…

Respecto al correo, desde hace unos meses yo utilizo AnonAddy, que no lo había pensado, pero aporta un nivel más de protección respecto a lo que hablamos. Por ejemplo, generas para el exchange x una dirección loquesea@loquesea.com (el loquesea.com puede ser un dominio tuyo o usar uno de los que te da la app) y el caco va a intentar hackear loquesea@loquesea.com pero realmente tu buzón es otracosa@otracosa.com y eso no lo sabe ni el caco ni el exchange…

Y algo que no arregla el pasado, pero sí que puede librarnos de problemas en el futuro. Si compráis un wallet o algo relacionado con cryptos, lo mejor es no dar datos reales al vendedor. Por ejemplo, yo he comprado hace unos días unos ledgers para varios amigos neocoiners (a pesar del hackeo creo que es un dispositivo con una buena relación calidad/seguridad/precio) y para recibirlos he contratado un buzón temporal en una agencia de paquetería local (como un apartado de correos). Se pueden contratar hasta por un mes… He hecho el pedido desde un correo desechable, he pagado con bitcoin y he puesto de destinatario el nombre de mi buzón y la dirección de la oficina…

Bueno, no quería dar muchos detalles pero por lo que veo esto va para muy largo.
Como ya expliqué en el post inicial…

…alguien solicitó una SIM a mi nombre. Pues bien, eso no es del todo cierto. Me explico. Resulta que yo sólo soy usuario de mi número de teléfono, no el titular. Esto es un engorro cuando hay que hacer alguna gestión con la compañía pero yo lo consideraba una capa de seguridad más: si alguien intentaba hacer un duplicado de mi SIM, al presentarse en la oficina pertinente con mi dni, no se lo harían puesto que no soy el titular. Para más inri, el titular es una mujer.
Cómo alguien ha sido capaz de relacionar mi teléfono con el titular real? Sólo puedo llegar a una conclusión y me encantaría conocer la de los foreros para ver si es la misma que la mía.
Muchas gracias.
Saludos a tod@s!

Parece que esa gente tiene contactos dentro de las operadoras… o tiendas de las operadoras. Tanto para tener info del titular como para que le den el duplicado.
Sino no me lo explico.

De las redes sociales se puede obtener mucha información del entorno de la persona a hackear, ingeniería social…

En la mayoría de los casos se sabe que si no tienes el número a tu nombre es porque en casa otra persona es el titular y se ha sacado un segundo número dentro de una oferta que reduce los gastos a la mitad, solo hay que ver en redes quien es tu pareja y listo.

Y cómo obtienes este dato?

Cuando van a la tienda a por la copia le dicen que el número no está al nombre que el dice, ya sabe entonces que el número muy probablemente está a nombre de un cónyuge o familiar.

Respecto a obtener información, hoy en día existen muchas herramientas para obtener información de una persona si tienes algún dato suyo, como el número de teléfono. Estas herramientas van más allá de una busqueda manual de las redes sociales, y sirven para agrupar toda la información pública de una persona y mostrarla en un informe. Si quereis ver hasta donde llega la madriguera de conejo, echad un vistazo a:

https://medium.com/the-first-digit/osint-how-to-find-information-on-anyone-5029a3c7fd56

https://osintframework.com/

Te lo compro @dalai. Pero en mi caso no tengo instagram y hace 5 años desactivé la cuenta de facebook. La persona que es titular del teléfono no vive conmigo. Tengo la sensación de que se han tomado muchas molestias…
Por otro lado, incluso si hubieran conseguido entrar en el exchange, una vez se hace el cambio de contraseña, los retiros tardan 48 horas (bitpanda) en efectuarse, así que en realidad tenían muy pocas posibilidades de éxito.
Gracias por dedicar tu tiempo a contestarme!
Saludos!

Si sospechas esto, si yo fuera tu, tomaría medidas para saber si tienes puesta vigilancia en tu vida cotidiana. Y si tienes rutinas diarias yo las cambiaría todas y me volvería lo más imprevisible posible.

Ha sido la titular, blanco y en botella leche. Supongo que la susodicha mujer sabe de tus inversiones. Si conoce un poco lo que haces y la ves capaz de utilizar una VPN pues yo investigaría un poco, algún rastro habrá dejado. Quizás por Movistar haciéndote el loco puedas averiguar algo. Me tiene intrigado la anécdota la verdad.