El 'SIM Swapping' es un tipo de fraude que consiste en obtener un duplicado de una tarjeta SIM asociada a una línea de teléfono sin el consentimiento de su titular con el fin de suplantar su identidad y acceder a información confidencial, como redes sociales, servicios de mensajería instantánea, correos electrónicos o incluso aplicaciones bancarias.
Además de obtener esta información, con un duplicado de la tarjeta los delincuentes pueden recibir los SMS con los códigos de confirmación que permiten realizar determinadas operaciones por Internet, como compras online, transferencias o solicitudes de préstamos, y aprovecharse de ello para estafar al verdadero titular de la línea.
Tras recibir denuncias de varios particulares y la aparición de distintas noticias en los medios de comunicación en torno a este tipo de prácticas delictivas, la Asociación Española de Protección de Datos (AEPD) inició hace algo más de dos años una investigación para determinar la responsabilidad de los operadores de telecomunicaciones en este tipo de fraudes.
Un procedimiento del que han salido varios expedientes sancionadores contra distintos operadores de telecomunicaciones, a los que se les han puesto varias multas por una cuantía total de 5,81 millones de euros al considerar la AEPD que las políticas de seguridad que tienen estas compañías han sido insuficientes para evitar los duplicados fraudulentos.
En concreto, la agencia considera que estas compañías han cometido una "infracción muy grave" a la hora de gestionar el tratamiento de los datos que les proporcionan sus clientes, según lo recogido en el Reglamento General de Protección de Datos, así como en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.
Sanción desproporcionada
Desde las operadoras rechazan esta acusaciones y afirman que también se ven perjudicadas, junto con sus clientes, por la acción de los ciberdelincuentes. Un perjuicio que, añaden, se ve agravado por esta sanción "desporcionada" que también afecta a su imagen pública y a la relación con sus clientes.
"La sanción impuesta por la AEPD es claramente desproporcionada, atendiendo al número de supuestos en que este tipo de fraudes llegan a materializarse, por lo que se trata de incidentes excepcionales que no pueden poner en duda los altos estándares de seguridad con los que se tratan los datos personales de los clientes", señalan a EL ESPAÑOL - Invertia.
En este sentido, inciden en que el objetivo principal de los delincuentes con el 'SIM Swapping' es poder acceder a las claves de confirmación para la realización de transferencias bancarias, cuyo diseño de seguridad es responsabilidad de las entidades bancarias y en el que las operadoras de telefonía no intervienen ni tienen relación alguna.
Además, añaden que la perpetración de este tipo de delitos requiere de la obtención previa, mediante engaño, de las claves bancarias de la víctima (habitualmente mediante técnicas conocidas como phishing), "por lo que responsabilizar a las operadoras por la comisión de estos delitos es improcedente".
Sin embargo, remarcan que, aunque la mejora del diseño de la seguridad de los procesos es responsabilidad de los bancos y entidades de crédito, continuarán "actualizando y reforzando sus protocolos de forma continua" para mejorarlos y optimizarlos con el objetivo de hacer frente a las cada día más complejas y diversas amenazas que los delincuentes desarrollan contra la seguridad de la información.
Vodafone recibe la sanción más alta
De todas las operadoras, Vodafone es, con diferencia, la que ha recibido la sanción administrativa más elevada, 3,94 millones. En su informe, la AEPD tiene en cuenta no sólo la investigación de oficio de las medidas adoptadas por Vodafone con carácter general por la compañía, sino también nueve reclamaciones presentadas por particulares ante la agencia.
En ellas, varios clientes de la operadora denuncian duplicados de tarjetas de personas ingresadas en hospitales o realizados en provincias distintas a las de residencia. Operaciones que en uno de los casos denunciados permitieron a los delincuentes sustraer 17.265,00 euros de una cuenta corriente, según los denunciantes.
En su resolución, la AEPD considera que queda probado que la política de seguridad de Vodafone ha resultado insuficiente para la adecuada protección de los derechos fundamentales de las personas cuyas tarjetas SIM han sido fraudulentamente duplicadas y señala que los datos recabados muestran que esta política no falla sólo en casos aislados como argumenta la operadora. De hecho, acusa a la compañía de tener una conducta "reactiva" y no "proactiva", tal y como exige el RGPD.
"Tal y como se ha probado, estas medidas de seguridad no eran adecuadas ni suficientes, pues la cesión de datos a terceros se ha producido sin verificar de forma fehaciente la identidad de los interesados", incide la agencia, que considera que terceros ajenos a los titulares de los datos han superado las medidas de seguridad establecidas en "múltiples ocasiones".
Tras conocer la resolución, Vodafone asegura que la AEPD ha valorado el caso "de forma errónea", pues parte de únicamente nueve reclamaciones interpuestas por particulares y extrae como consecuencia que las políticas de seguridad de la compañía estarían fallando.
En este sentido, afirma que aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo en todos sus canales, así como que ha sido proactiva en la implantación de medidas encaminadas a impedir duplicados SIM fraudulentos.
Además, agrega que ha realizado, de manera continua, evaluaciones de riesgo, así como revisiones y actualizaciones de medidas de seguridad. También recalca que ha colaborado con la propia AEPD en el marco del grupo de trabajo 'Duplicidad Tarjetas SIM' constituido por dicha Agencia.
En conclusión,considera que la sanción impuesta es "totalmente desproporcionada", teniendo en cuenta que trabaja de manera continua para asegurar que las operaciones se realizan de una manera segura y ha implementado de forma proactivas medidas para ello, así como que "no existe negligencia o intencionalidad alguna por parte de Vodafone".
Multas a Telefónica, Orange y MásMóvil
La segunda multa más elevada son los 900.000 impuestos a Telefónica por los datos recabados tanto en la investigación de oficio como en tres reclamaciones presentadas ante la AEPD. Por ejemplo, en una de ellas un usuario denuncia que, como consecuencia del duplicado fraudulento de su tarjeta, se realizaron dos transferencias de 28.000 euros desde sus cuentas, mientras que otro afectado alerta de dos ingresos en Revolut por importe total de 6.000 euros.
La AEPD también considera que en esos casos ha quedado demostrado que Telefónica no ha cumplido los principios relativos al tratamiento de los datos personales afectados. "No basta con disponer de una política de seguridad, sino que hay que adecuarla para mitigar los riesgos", incide.
Sin embargo, también señala que la compañía "ha mejorado la eficacia de los procedimientos" tomando acciones, correcciones, introduciendo cambios y refuerzo, lo que ha servido de "atenuante".
En el caso de Orange, la agencia publica dos sanciones, una de 70.000 euros y otra de 700.000 euros. La agencia ha tenido en cuenta denuncias como la de una cliente de Simyo al que le habían solicitado un préstamo de 43.000 tras el duplicado o la de un usuario de Orange al que le realizaron once transferencias en dos días por importe de hasta 5.000 euros.
En este contexto, la AEPD considera que también ha quedado probado que las medidas implantadas por Orange eran "insuficientes" y no sólo porque se haya producido su superación y la cesión de datos personales a un tercero. En su opinión, la superación por las personas suplantadoras de las políticas de seguridad implantadas por la operadora evidencia "un incumplimiento del deber de proteger la información de los clientes".
Aun así, también constató que, de la instrucción del procedimiento, se ha implementado "un modelo más eficaz de evitación del riesgo de suplantación de identidad", así como la revisión, el refuerzo y la mejora de las medidas de seguridad aplicadas en los distintos canales con el fin de evitar la materialización de los fraudes.
En lo que respecta a MásMóvil, se ha impuesto a la operadora una sanción de 200.000 euros tras tener en cuenta la investigación de oficio y dos reclamaciones de clientes que denuncian retiradas de dinero en cajeros o transferencias bancarias no autorizados.
El organismo considera que, a pesar disponer de unas medidas de seguridad que se deberían adoptar en los tratamientos de datos personales necesarios, estas han resultado "a todas luces insuficientes" para evitar el acceso indebido a duplicados de tarjeta SIM solicitados de forma fraudulenta.