Multas millonarias a las operadoras de móvil por los fraudes 'SIM swapping'

La Agencia Española de Protección de Datos (AEPD) ha impuesto multas que van de 70.000 euros a 3,94 millones a las principales operadoras de móvil por infringir el principio de confidencialidad de los datos de sus clientes, permitiendo duplicados de tarjetas SIM no autorizados o sin verificar, que facilitaron la práctica fraudulenta conocida como el 'SIM swapping', que consiste en generar un duplicado de la tarjeta SIM sin el consentimiento del titular para acceder a información personal y confidencial y realizar robos de cuentas y transferencias de dinero. El pasado 1 de febrero, la Agencia resolvía, tras más de dos años de investigación, cinco expedientes sancionadores que afectan a Vodafone, que debe pagar una multa de 3,94 millones; Orange, con dos sanciones que suman 770.000 euros; Telefónica, que deberá abonar 900.000 euros y Xfera, que se enfrenta a una sanción de 200.000 euros.

A partir de denuncias de ciudadanos realizadas la mayoría en 2019 y 2020, la AEPD inició el año pasado los procedimientos sancionadores, a los que ha tenido acceso La Información, que ahora han concluido en multas millonarias por infracción del artículo 5.1.f) y del 5.2 del RGPD, tipificada en el artículo 83.5.a) del RGPD y en el artículo 72.1.a) de la LOPDGDD. El artículo señala que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada de estos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas -integridad y confidencialidad-. Las compañías sancionadas tiene ahora dos meses para comunicar la AEPD si tienen la intención de interponer recurso contencioso-administrativo.

Entre las alegaciones de las operadoras, en este caso de Orange, se señala que es erróneo pensar que al conseguir un duplicado de la tarjeta SIM los suplantadores automáticamente pueden tener acceso a los contactos y pueden acceder a todas las aplicaciones y servicios que tengan como procedimiento de recuperación de clave el envío de un SMS con un código para poder cambiar las contraseñas. Destaca que si la información se almacenase siempre las tarjetas SIM, estos datos no aparecerían en los duplicados.

Orange apunta que existe en muchos casos un comportamiento imprudente de los titulares en la custodia de su información personal

"Cuando el suplantador se dirige a Orange para solicitar el duplicado cuenta ya con mucha información relativa al interesado, que es necesaria para la gestión de la solicitud. Por lo tanto, la obtención de esta información, de forma presumiblemente ilícita, es responsabilidad de terceros o del propio titular de los datos, existiendo en muchos casos un comportamiento imprudente de estos últimos en la custodia de su información personal", señala para apuntar la responsabilidad de los usuarios y rebajar la importante sanción. También apunta la responsabilidad de los bancos, "ya que la confidencialidad de los datos tratados en el proceso de la duplicación de la tarjeta SIM se quebró previamente por parte de las entidades bancarias".

La AEPD describe el modo de operar de los ciberdelincuentes, a partir de la experiencia contra estas prácticas de la Policía Nacional. La estafa consta de varias fases; en una primera los estafadores se apoderan de las claves de acceso a los portales de banca online de las diferentes entidades mediante técnicas de 'phishin', 'malware' o 'pharming'. Conseguidas las claves, los autores solicitan un duplicado de las tarjetas SIM de las diferentes víctimas, aportando a las empresas de telefonía móvil documentación falsa con intención de recibir los códigos de confirmación de las transferencias fraudulentas que posteriormente realizan a sus cuentas personales. 

En otras ocasiones, también solicitan préstamos preconcedidos o microcréditos a las entidades bancarias, con el fin de obtener mayor beneficio económico. En apenas dos horas, los ciberdelincuentes cumplen sus objetivos, lo que impide que en muchas ocasiones las víctimas se percaten de que su teléfono ha dejado de funcionar, ya que su tarjeta SIM estaba inactiva debido a que ya se estaba operando con la nueva tarjeta duplicada. La comisión de este delito conlleva la realización de toda una serie de conductas delictivas, que comienzan con el acceso por el delincuente a la información personal y las claves de bancarias de las víctimas, pasan por la usurpación de la identidad de la víctima para lograr una copia de su tarjeta SIM, y terminan con la recepción en un dispositivo móvil de los códigos de confirmación necesarios para autorizar la realización de las transferencias. 

El 'SIM swapping' está siendo utilizado con alarmante frecuencia y ha generado múltiples investigaciones policiales y la incoación de procedimientos

También destaca la Memoria 2021 de la Fiscalía General del Estado y su  apartado dedicado a la 'Criminalidad informática' en el que menciona las actuaciones fraudulentas online que afectan al sector de las telecomunicaciones, entre ellas el 'SIM swapping', "que está siendo utilizado con alarmante frecuencia en los últimos años y ha generado múltiples investigaciones policiales y la incoación de procedimientos en distintos territorios como A Coruña y Valencia. Su efectividad y la facilidad con que los/as delincuentes logran sus ilícitos propósitos ha determinado la adopción por los operadores de telefonía de medidas específicas de prevención y fortalecimiento de las garantías para la emisión de estas tarjetas o de sus duplicados”.

En las resoluciones de la AEPD se mencionan como atenuantes, que evitan una sanción mucho mayor, la alta colaboración de las compañías con la Agencia, las positivas medidas tomadas para paliar los daños y perjuicios sufridos por los interesados, el sometimiento a mecanismos de resolución de conflictos y a que no han obtenido un beneficio económico más allá de percibir el precio del coste fijado para la emisión de los duplicados de las tarjetas SIM -entorno a cinco euros-. Pese a todo la Agencia considera acreditados los incumplimientos, que constituyen una infracción muy grave del RGPD y destaca que la rigurosidad de la operadora a la hora de vigilar quién es el titular de la tarjeta SIM o persona por éste autorizada, que peticiona el duplicado, debería responder a unos requisitos estrictos. "No se trata de que la información a la que se refiere no esté contenida en la tarjeta SIM, sino de que, si en el proceso de expedición de un duplicado de tarjeta SIM no se verifica adecuadamente la identidad del solicitante, la operadora estaría facilitando la suplantación de identidad".