La posibilidad de comprar un smartphone en una operadora tiene como principales ventajas el poder pagarlo a plazos e incluso ahorrar dinero con respecto a su precio en otras tiendas. Sin embargo, en los últimos años hemos asistido a testimonios de personas que dicen haber recibido móviles que no han comprado y que, lógicamente, se cargan a sus cuentas bancarias. Hechos que son evidentemente graves y ponen en jaque los sistemas de seguridad de las compañías.
A continuación expondremos algunos de esos testimonios, pero sin dejar de lado las otras partes, la de las operadoras. Desde Xataka Móvil nos hemos puesto en contacto con las principales compañías para saber de primera mano cuáles son los datos que se solicitan y qué procedimientos de seguridad se siguen para evitar problemas como los que comentábamos anteriormente.
Testimonios sobre presuntas estafas relacionadas con compras no autorizadas
El argumento común en la mayoría de reclamaciones que se hacen es que alguien compra terminales a su nombre. A veces se enteran a tiempo para cancelar esa compra no autorizada y en otras se dan cuenta cuando ven un cobro extra en su cuenta del banco o directamente en la factura.
El problema de estos casos es que viene de largo, tal y como podemos ver con mensajes en el foro de Banda Ancha que datan de 2010. Casi una quincena de años después, hay quienes siguen exponiendo (en público o en privado) casos similares y que a priori derivarían de un fallo del protocolo de seguridad e identificación por parte de las compañías.
Más de 2.000 euros en iPhone que él no pidió
Este caso, aunque ha sido explicado en Twitter, lo dejaremos en el anonimato por petición del reclamante. Este, explica que de repente recibió un email de Movistar en el que se confirmaba la compra, no de uno, sino de tres smartphones. Terminales que además eran de la gama más alta de Apple, por lo que no suponían precisamente un cobro pequeño (más de 2.000 euros).
Comentaba haberse puesto en contacto con el servicio de atención al cliente telefónico de la operadora para tratar de averiguar que había ocurrido, dado que él no realizó esa compra en ningún momento. Fue entonces cuando, según dice, alguien debió aprovechar el vacío legal que existe con los datos de los trabajadores autónomos.
Y es que, quien trabaje por cuenta propia estando dado de alta en el RETA (Régimen Especial de Trabajadores Autónomos), al igual que las empresas, tienen accesibles en Internet datos como su nombre completo, DNI e incluso dirección. Si bien no hay confirmación de qué ocurrió en este caso, el presunto afectado alude a esta cuestión para alegar el método mediante el cual se hicieron con sus datos.
Se desconoce el avance de esta historia más allá de que, dice, haber presentado una denuncia formal en un cuartel de la Guardia Civil. De igual modo, tampoco se sabe si pudo anular o no el pedido y qué facilidades encontró para ello. No obstante, las respuestas que obtuvo ese tweet y conocer otros casos similares nos hace pensar que probablemente pudo cancelarlo antes de que se efectuase el cobro.
Lorena y su ‘no’ compra de un iPhone a 1.000 km de distancia
Un caso cercano a esta redacción es el de Lorena (nombre no real). Ella era clienta de Vodafone, teniendo una tarifa fija cada mes y con una permanencia que acababa de finalizar. Por cuestiones de ahorro y otros motivos que no vienen al caso, quiso aprovechar esa circunstancia de no tener compromiso alguno con la operadora para pasarse a una tarifa de menor coste. Y con esa intención llamó a Vodafone.
El agente que atendió a Lorena le informó de la imposibilidad de bajar a una tarifa inferior teniendo permanencia, confirmándole que únicamente podía optar por una superior. A ella le sorprendió porque, como decíamos anteriormente, su permanencia había cumplido. Así se lo trasladó al agente, quien le confirmó tener una nueva permanencia asociada a un reciente contrato que traía adjunta la compra de un terminal. La clave de esto es que Lorena no solicitó en ningún momento la compra de un smartphone a la compañía.
En esta llamada pudo confirmar que esta compra estaba realizada con su nombre y DNI real, pero con una dirección de envío a Barcelona (ella vive en Badajoz). Trató de deshacerse de dicho contrato por teléfono explicando que en ningún momento había solicitado nada y que podría estar siendo víctima de un fraude. Sin embargo, no logró nada por esta vía.
Lorena tuvo que acudir presencialmente a una tienda de Vodafone en la que pudieron solucionarle el problema, el cual era real y no un fallo de la información del agente telefónico o algo similar. Alguien había comprado un iPhone con sus datos y había solicitado que se enviase a Barcelona.
La suplantación de identidad como hilo conductor
Como ya venimos viendo, es la suplantación de identidad lo que utilizan los estafadores para encargar teléfonos móviles a las operadoras. Sobra decir que es un acto ilegal que puede acarrear penas de prisión de seis meses a tres años, tal y como queda contemplado en el artículo 401 del Código Penal.
Sin embargo, no sólo el infractor se enfrenta a penas, ya que también las compañías pueden ser sancionadas. Tenemos para ello un caso reciente que, sin ser idéntico, resulta similar al asunto que estamos tratando. Este mismo año Vodafone fue sancionada con 100.000 euros de multa por un caso en el que una persona compró una tarjeta SIM en una tienda de la compañía que posteriormente utilizó para realizar estafas en aplicaciones de compra-venta online. La culpa de Vodafone en este caso fue no comprobar correctamente los datos del comprador, el cual utilizó una identidad falsa.
Un caso particular y que veíamos en uno de los anteriores testimonios es el de los trabajadores autónomos y como sus datos quedan expuestos en Internet, estando en un limbo legal respecto al RGPD (Reglamento General de Protección de Datos). Como ya contaron nuestros compañeros de Genbeta, existen decenas de webs que recopilan información de este tipo de trabajadores. Y no es ilegal, dado que salen de bases de datos públicas igual que el de las empresas.
Aquí se suele incluir tanto el nombre y apellidos, como el DNI e incluso la dirección. Resultan especialmente sensibles estos dos últimos datos, dado que los autónomos no se identifican con número creado para la actividad profesional como el CIF de las empresas, sino que usan su propio número de identificación de persona física. Y en lo referente a la dirección, perfectamente puede ser la misma en la que estos residen si su domicilio es el que tienen establecido como dirección fiscal.
Y aunque en lo referente a particulares no deberían estar estos datos visibles de forma pública, pueden haber sido obtenidos mediante otras técnicas como el phishing. De hecho, entra dentro de los timos más comunes que recibimos en el móvil. Ejemplo; recibimos un SMS advirtiendo de confirmar nuestros datos a Hacienda para que puedan efectuar la devolución de la Renta. Este es un caso real en el que los estafadores no reciben directamente el dinero de la víctima, pero sí sus datos para utilizarlos en situaciones como esta (la compra de un smartphone a la operadora).
Así las cosas, ser víctimas de este tipo de estafas y que alguien utilice nuestros datos para realizar una compra en una operadora es denunciable. Evidentemente se deberán aportas pruebas que corroboren que la víctima es tal, pero si se logra durante la investigación y el juicio pertinente, tanto las operadoras como el estafador estarán en problemas.
La OCU también se ha pronunciado al respecto
Tras ponernos en contacto con OCU (Organización de Consumidores y Usuarios) hemos podido saber que tienen constancia sobre este tipo de casos. Hacen además hincapié en un problema añadido que habitualmente sufren las víctimas y es que aunque dejen de pagar el terminal a la operadora, el estafador seguirá teniendo el smartphone sin penalización alguna.
Desde la organización instan a las compañías a que revisen sus protocolos de compra online para impedir estos casos. Sugieren sistemas de seguridad como la confirmación del pedido por SMS, lo cual serviría para que el legítimo propietario de la línea tenga constancia y el estafador no se salga con la suya.
De igual modo, creen que en caso de darse estas situaciones las compañías deben abonar los importes ya pagados de forma rápida. A esto se le suma otro reclamo importante y evidente, que es anular también los compromisos que le hayan podido acarrear la compra de un terminal (permanencia, tarifas asociadas, etc.).
El protocolo que marcan las operadoras para comprar un terminal
Como ya decíamos al principio, nos hemos puesto en contacto con las principales compañías para saber de primera mano qué datos se piden para evitar estos fraudes. Y de acuerdo a lo que nos han comentado, nos encontramos con protocolos que deberían evitar sucesos como los que describíamos anteriormente.
Y es que, en función de los sucesos que hemos ido conociendo, entendemos que lo habitual en este tipo de sucesos es que el problema se produzca por las compras telefónicas. Al hacerse por esta vía es más complejo determinar la autenticidad del comprador y con ello saber si es realmente el titular del contrato o no.
Vodafone
En Vodafone, como en las otras, ofrecen tres canales por los que comprar un smartphone: tienda física, online a través de la app ‘Mi Vodafone’ y por teléfono. La operadora nos confirma que en todos estos casos se siguen unos pasos con los que evitar fraudes como los comentados anteriormente.
Si se compra en una tienda física, al igual que si se solicita un duplicado de la tarjeta SIM, solicita el DNI del titular del contrato. Por otro lado, si se hace por teléfono, dice Vodafone que sus servicios de atención al cliente están obligados a identificar al cliente preguntando sus datos completos (nombre, apellidos y número del DNI). Le suman en este caso un factor más de seguridad como son los cuatro últimos dígitos de la cuenta bancaria asociada.
Una vez que el cliente se ha identificado y expresa el deseo de renovar su smartphone, habiendo ya elegido modelo, se envía por SMS un enlace al contrato para firmarlo digitalmente, siendo siempre al número del titular del contrato. Así mismo, a ese número se envía también otro SMS con un código de 6 dígitos que se solicita durante la firma del contrato.
A la hora de entregar el terminal, Vodafone permite que se envíe al domicilio siendo siempre este la dirección que el cliente tiene asociada y mostrando el DNI al repartidor en el momento en que se recibe. Otra opción es recogerlo en una oficina de Correos, para lo cual también se precisa que sea el titular en persona quien acuda, enseñando el DNI original.
Movistar
La operadora de Telefónica no ha querido comunicarnos con excesivo detalle el proceder para este tipo de compras con fines, dicen, de evitar dar pistas a los que cometen fraudes como los citados anteriormente. Sí hablan de la importancia de la compañía de implementar sistemas de doble factor (OTP) para asegurarse de que el cliente autoriza la compra con seguridad.
Explican además que, dependiendo del canal se establecen unas u otras medidas de seguridad. Nos informan además de que estos protocolos de seguridad se aplican no sólo a la compra de terminales, sino también ante solicitudes de duplicados de SIM, evitando así también que se produzcan otras estafas relacionadas con el SIM Swapping y que tan en auge parecen estar en los últimos tiempos.
Otras operadoras
También hemos contactado con las otras dos grandes telecos que permiten a sus clientes adquirir terminales en algunas de sus marcas: Grupo MásMóvil y Orange España. Al momento de publicar este artículo, y pese a haber insistido en numerosas ocasiones, ninguna de las dos nos ha explicado qué postura adoptan frente a este tipo de testimonios y cuáles son sus procesos para evitar compras fraudulentas.
Si existen estos protocolos, ¿por qué se denuncian fraudes?
En vistas de todo lo explicado anteriormente, es evidente que chocan los dos argumentos. Por un lado, algunas compañías afirman tener sistemas de seguridad que eviten problemas como estos y por otro nos encontramos con testimonios de personas que dicen haber sido afectadas.
Aquí encontramos dos hipótesis. La primera es que de alguna manera esto podría ser una estafa muy minuciosa capaz incluso de saltarse la autenticación de doble factor. Por otro lado, es posible que los agentes telefónicos no cumpliesen el protocolo de seguridad marcado por las compañías. No obstante, al final son eso, hipótesis de las cuales no existen certezas.
Así todo, hemos preguntado también a las operadoras sobre esta contrariedad, pero ninguna ha emitido declaraciones a este respecto, por lo que no hemos podido salir de dudas sobre el proceder ante estos casos.
En Xataka Móvil | El duplicado de SIM puede afectarte sin que lo sepas: así combaten el SIM Swapping los operadores
Ver 4 comentarios