El SIM Swapping está desgraciadamente de moda y las telecos que no extremen sus precauciones al máximo no solo son susceptibles de que sus clientes se vean afectados y afectados, es que además pueden llevarse sanciones de la Agencia Española de Protección de Datos. Y si no, que se lo pregunten a Digi, sancionada económicamente por la AEPD por no verificar la identidad en un proceso de duplicado de tarjeta SIM que resultó ser un fraude.
El SIM Swapping y las operadoras
Los antecedentes. Grosso modo, el SIM Swapping es el robo de tu tarjeta (por ejemplo, sustrayéndote tu teléfono) o el duplicado de tu SIM valiéndose de tus datos personales (que han conseguido con estrategias de ingeniería social como pueden ser llamadas suplantando identidad). Con todo esto, los malhechores pueden solicitar accesos a diferentes accesos y recibirlos en esa tarjeta SIM gracias a la autenticación de doble factor, vinculada al número de teléfono que probablemente hayamos empleado para crear una cuenta y del que el servicio tiene constancia. Un ejemplo: recuperar la contraseña del banco, que tiene nuestro número de teléfono. Si consiguen hacerse con tu tarjeta SIM y el procedimiento concluye con éxito, dejarás de recibir mensajes y llamadas ya que tu SIM original se desactiva.
Hay un punto clave en todo este proceso, que es el duplicado de la tarjeta, algo que puede hacerse tanto de forma independiente como (más común) que sea la propia operadora la que proceda una vez haya verificado que somos quienes decimos ser. Precisamente esto es lo que le ha salido caro a Digi: la Agencia Española de Protección de Datos le ha impuesto una sanción de 70.000 euros por no verificar la identidad de uno de sus clientes en la entrega de un duplicado de tarjeta SIM en una de sus tiendas. Gracias a ese clonado fraudulento de tarjeta, pudieron sustraerle dinero de sus cuentas bancarias.
A principios de este año entraba en vigor el nuevo Código de Conducta de Autocontrol, el servicio de mediación de las telecos con el objetivo de agilizar la resolución de reclamaciones relativas al tratamiento de datos en publicidad de la mano de AEPD, lo que por un lado ayudaría a sus clientes y por otro, minimizaría las diferentes sanciones que sufren las operadoras fruto de casos como el incumplimiento de la Lista Robinson, la suplantación de identidad o el SIM Swapping que nos ocupa. Pues bien, Digi no forma parte de este acuerdo de AUTOCONTROL, pero teniendo en cuenta su crecimiento en el mercado español, era de esperar que más pronto que tarde se enfrentara a situaciones como esta.
Hace apenas un par de días contactábamos con los principales operadores de España para que nos contaran qué están haciendo para tratar de lidiar con el SIM Swapping. La teleco rumana explicaba que están llevando a cabo "diversas medidas para prevenir el SIM Swapping", para lo cual disponen de un "equipo especializado para duplicados de SIM" con una política estricta a la hora de identificar a los titulares de las líneas. Un refuerzo extra durante el proceso consiste en devolver al cliente información actualizada sobre el estado actual para realizar un seguimiento más exhaustivo. Aunque estas declaraciones de las medidas de Digi contra el SIM Swapping son actuales, el caso de SIM Swapping por el que la AEPD ha actuado data de octubre de 2021.
Los motivos de la sanción
Como consta en la resolución del procedimiento sancionador, el servicio de atención al cliente de Digi recibió una llamada solicitando el duplicado de una tarjeta SIM. El proceso de verificación concluyó con éxito ya que quien llamaba fue capaz de superarlo al disponer de los últimos cuatro dígitos de la cuenta bancaria. Como consecuencia, recibió un código que usó para acercarse a un comercio distribuidor de Digi a recoger la nueva tarjeta SIM, donde no se le requirió identificación. Y aquí está el problema.
En el establecimiento en que se expidió el duplicado de la tarjeta SIM debió haberse comprobado el original del documento identificativo, siendo así que, de haberse efectuado correctamente esta operación, el duplicado debió haber sido denegado.
Con la segunda SIM operativa, los estafadores pudieron llevar a cabo numerosas transferencias de la cuenta de la persona afectada en las horas en las que estuvo operativa, ya que cuando la víctima contactó con la operadora para explicar que estaba sin línea, Digi restableció el servicio.
Las explicaciones de Digi. Como explica Digi, se limitó a seguir los protocolos establecidos y no proporcionó información personal. Como atenuante, lidiar con su primera infracción y que como consecuencia, ha reforzado el procedimiento implementando el requisito de solicitar autorización firmada y copia del DNI del titular.
Vía | Bandaancha
En Xataka Móvil | Cómo saber si han clonado tu tarjeta SIM, qué puedes hacer ante el duplicado de tarjeta no autorizado y cómo minimizar riesgos
Ver 2 comentarios