BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Digi recibe su primera sanción de Protección de Datos por permitir el SIM swapping: 70.000 €

Joshua Llorach
SIM en slot de teléfono móvil

Digi se estrena ante la Agencia Española de Protección de Datos (AEPD) con una sanción de 70 mil € por no verificar la identidad al entregar en tienda un duplicado fraudulento de la tarjeta SIM de uno de sus clientes, lo que permitió que se le robase dinero de la cuenta bancaria.

Las operadoras de telecomunicaciones están acostumbradas a ser sancionadas por las autoridades de protección de datos por diversos motivos, como cuando sus equipos comerciales realizan spam telefónico no respetando la Lista Robinson, cuando no protegen debidamente los datos personales de sus clientes en una filtración, o aún más grave, cuando sus medidas de control no son capaces de frenar una suplantación de identidad para duplicar la tarjeta SIM de un cliente. Las multas llegan a pesar de sus esfuerzos para contener las denuncias de los clientes afectados a través de servicios de mediación como el puesto en marcha recientemente con Autocontrol.

Digi no forma parte de este acuerdo, entre otras cosas, porque hasta ahora no le había hecho falta. La operadora rumana no se había visto involucrada en una denuncia ante la AEPD, pero dado su crecimiento continuo en los últimos años, era cuestión de tiempo que esto ocurriese. En el caso que nos ocupa, Digi se estrena ante la AEPD debido a su débil control de los duplicados de tarjetas SIM.

SIM swapping para poder autorizar transferencias fraudulentas

La verificación en dos pasos que usan las entidades bancarias y otros servicios para autentificar a sus clientes, ha hecho que los delincuentes necesiten conseguir acceso a la línea móvil de la víctima, con el fin de leer los códigos de autorización que llegan por SMS al mover fondos de las cuentas bancarias. Con los datos personales del usuario obtenidos previamente engañándole mediante phishing, los delincuentes se presentan ante la operadora suplantando su identidad para pedir un duplicado de la tarjeta SIM. Es lo que se conoce como SIM swapping. La SIM del usuario legítimo se desactiva, quedándose éste sin línea y todas las comunicaciones pasan a la nueva SIM, de forma que los delincuentes pueden autorizar los movimientos.

En el caso denunciado por un cliente de Digi, su servicio de atención al cliente recibió una llamada solicitando el duplicado de la SIM. El interlocutor superó el proceso de verificación al disponer de los datos personales de la víctima, incluyendo los 4 últimos dígitos de la cuenta bancaria, por lo que se le entregó un código autorizando el duplicado. Con este código solo hizo falta visitar un locutorio distribuidor de Digi para recoger la nueva SIM, donde no se solicitó ninguna identificación.

En el establecimiento en que se expidió el duplicado de la tarjeta SIM debió haberse comprobado el original del documento identificativo, siendo así que, de haberse efectuado correctamente esta operación, el duplicado debió haber sido denegado.

La tarjeta duplicada estuvo operativa solo unas horas, ya que tras quedarse sin línea el cliente se puso en contacto con la operadora, que restableció el servicio, sin embargo, este tiempo fue suficiente para que se realizarán "numerosas transferencias desde su cuenta bancaria".

Digi trató de defenderse alegando que había seguido los protocolos y no facilitó ningún dato personal, ya que los delincuentes ya los tenían. Como atenuantes pidió que se tenga en cuenta que es su primera infracción y que a raíz del incidente ha reforzado las medidas de seguridad solicitando autorización firmada y copia del DNI del titular. Eso no ha evitado que la agencia le imponga una sanción de 70.000 €.

En un caso reciente la operadora R se libró de la sanción2 al demostrar que a pesar de haber entregado el duplicado de la SIM a los criminales, había seguido correctamente el protocolo, haciendo una copia del DNI falsificado que presentó el delincuente y comprobando que coincidían los datos.

  1. aepd.es/es/documento/ps-00505-2022.pdf
  2. aepd.es/es/documento/ai-00096-2022.pdf

💬 Comentarios

1
crackman

Pues está de puta madre que les sancionen… eso debería implicar más seguridad de ahora en adelante para sus abonados.

🗨️ 12
lhacc
1

Yo no lo veo tan claro, ya que gran parte de sus ingresos dependerá de las SIMs que vendan en los locutorios.

🗨️ 11
HaMeR2
1

Conozco el caso del afectado, y te puedo asegurar que desde ese evento que se produjo hace ya años han cambiado radicalmente los protocolos. Ahora la SIM que te da el locutorio pasa una validación interna de Digi y no del comercio, y tarda casi 72 horas en activarse tras su entrega.

🗨️ 10
P3nd3x
1

¿Eso es en altas nuevas con portabilidad/número nuevo, o en los duplicados de SIM?

Porque siendo lo segundo, me compadezco de los pobres clientes de Digi que pierdan o les roben el móvil y necesiten con urgencia un duplicado…

Por supuesto estoy a favor de toda medida que contribuya a reforzar la seguridad, pero necesitar 72h para verificar la identidad y activar una SIM…

🗨️ 9
Jabibithen

En altas nuevas también con número nuevo también, la seguridad que tienen es increíble.

🗨️ 7
P3nd3x
1
🗨️ 5
Aokromes
🗨️ 3
lhacc
🗨️ 2
Aokromes
🗨️ 1
lhacc
Ketere
Io40
HaMeR2

En caso de duplicado sí. Yo me quedé varios días sin línea por ese motivo. SAludos

superllo
2

Ahora se codea con las grandes.

Era su primerita vez.

🗨️ 1
P3nd3x
1

Está claro que cada vez más se van pareciendo a una María, y más como finalmente consigan espectro propio… xD

Espero que nunca se parezcan a las grandes en el precio, porque de ser así, y teniendo en cuenta la diferencia de la calidad en el servicio, sería su muerte anunciada.

Sekmeth
1

Lo que no termino de comprender es el porqué la sanción va contra Digi y no únicamente contra el local y su responsable.

🗨️ 2
P3nd3x
2

Porque Digi es quien presta el servicio a través de sus puntos de venta (tu recibes una SIM de Digi, a ti te factura Digi, y el servicio telefónico te lo presta Digi). El vendedor es simplemente la forma que tienen de llegar a ti (menos en Valencia donde además cuentan con tienda propia). Lo lógico es que el responsable final de validar que la SIM se entrega a su legítimo dueño (osea, Digi), sea el sancionado cuando las cosas no se hacen bien.

También te digo que hay puntos de venta y puntos de venta, no todos son iguales. El que tengo yo más cerca de mi domicilio, es atendido por dos empleados muy majos que además reparan móviles (es una tienda de informática), y para conseguir una SIM allí te tiras un buen rato en lo que comprueban bien todo (y sin que suene racista, para nada es mi intención, pero este local es atendido por españoles que les gusta su trabajo, le ponen ganas y se lo toman en serio). En este local solicité yo recientemente una portabilidad a prepago Digi, y pese a ser prepago, me recogieron toda la documentación, me hicieron firmar, etc.

Lo que no sería justo es acribillar y meter en el mismo saco a todos los puntos de venta, cuando el escalón superior (Digi) no hace bien su trabajo comprobando que la documentación es la correcta y que quien está solicitando el duplicado es quien dice ser. Una vez Digi haga bien su trabajo, entonces es cuando se puede perseguir (y no sería muy complicado) aquel punto de venta que no haga bien las cosas.

🗨️ 1
Jinskatutxo

De mis lejanos tiempos de tienda de telefonía, cuando todo era en papel, cada vez que había que hacer un trámite, desde una porta a un duplicado) sacabas fotocopias hasta de la partida de nacimiento, se adjuntaba todo y se mandaba por valija semanal, así que la comprobación de la veracidad se hacía en el punto de venta, si algo no era correcto, se le caía el pelo a quien no lo hubiera hecho bien, pero el operador no tenía manera de comprobar hasta pasado un tiempo, y un duplicado es al momento. Fallo del punto de venta, Digi ya tomará sus medidas contra ellos, pero la sanción es para el,operador.

ChrJr90

La víctima mucha seguridad no tendría tan poco. Porque yo hasta para hacer un bizum de 10 euros me pide la huella. Si hablamos de transferencias ya… A parte de huella tienen que conocer el código de operaciones de la cuenta también…

No tengo mucha idea de este tema pero joder… Son datos que o los entregas tú mismo a alguien o tienes que personificarte tú mismo en el banco y allí si que te van a pedir carnet y demás para obtenerlos.

🗨️ 10
P3nd3x

Depende mucho de la entidad bancaria, porque luego ves bancos como el BBVA donde la única clave de operaciones es el SMS con el código que se recibe en cada operación a realizar, eliminando cualquier otra clave de firma, posiciones, coordenadas, etc. Vamos, una seguridad increíble (nótese la ironía). Espero que al menos hayan migrado a código en app, porque yo cuando fui cliente suyo hace años aquello me daba hasta miedo, que toda la operativa bancaria dependiera de los SMS. Y encima para colmo te ponían mensajitos para justificar semejante inseguridad en la app al operar que decían "más comodidad con la misma seguridad de siempre".

También tenemos a Orange Bank, donde con conocer tu clave de 4 dígitos, pueden hacer lo que quieran, pues el banco no pide nada que no sea esa clave para operar (se puede asociar a huella, pero es opcional). Clave que, para regenerarla, se solicita código por SMS (vuelta al problema).

En otras entidades existe, además de los SMS, una clave de firma, siendo ambas necesarias para realizar cualquier operación, o como mencionas tu, la huella (que igualmente va asociada a una clave). Me temo que a quien le han vaciado la cuenta tendría una entidad del estilo de BBVA/Orange Bank que emplease este método.

Yo desde luego me abstengo de utilizar entidades que no cuenten, al menos, con un doble sistema para operar.

🗨️ 9
ChrJr90
1

Eah, eso es lo que yo estaba pensando, como tu bien dices, una pauperrima seguridad por parte del banco o el delincuente dormía con la victima vaya jajaj Porque dice la publicacion que el delincuente tenia todos los datos… Y digo ostia pta, el tio o es un super hacker o es intima persona de la victima…

Pero claro si ya es como tu dices que através de un solo SMS ya pueden hacer todo en una cuenta… Ya me callo jej

vukits

BBVA ya hace tiempo tienen posibilidad de autenticación por biometría.

En ese sentido, estoy bastante contentos con ellos.

🗨️ 7
P3nd3x
1

El problema viene cuando esa autenticación por biometría lleva "por detrás" una clave asociada, y esa clave asociada se puede regenerar por otra nueva con tan solo un SMS…

Eso está bien, siempre que vaya acompañado de claves de firma, tarjetas de coordenadas… o cualquier otro mecanismo de seguridad que no se pueda restablecer vía SMS. Si no se cuenta con este segundo sistema, es cuando se queda uno expuesto a los problemas como los de este artículo.

No quería hacer publicidad de ningún banco, pero por ejemplo, a un cliente de Banco Santander, esto no se lo harían jamás, pues por mucho SMS que tengan los delincuentes, les falta la clave de firma de 8 posiciones, clave que es diferente a la de acceso, y clave que no se puede regenerar mediante un SMS, por lo que no habría opción ninguna a sacar nada de dinero de la cuenta.

He visto intentos de phishing mediante SMS suplantando a Banco Santander, y siempre todos coinciden en añadir que, como paso adicional, metas los 8 dígitos de dicha clave de firma (pues luego el sistema solicita 4 aleatorios, no todos). Eso por ejemplo, a la hora de enviar el SMS haciéndose pasar por un banco como estos, no lo necesitan, porque con la clave que digo, ya te tienen agarrado.

🗨️ 6
vukits
1

no es publicidad , hombre.

yo tengo BBVA y comprenderás que me interesa saber cuales son las vulnerabilidades de mi producto.

agradezco mucho el aporte

🗨️ 5
P3nd3x
1
🗨️ 4
k-lamar
🗨️ 3
P3nd3x
🗨️ 2
k-lamar
🗨️ 1
P3nd3x
ntmjias
0

Igual usando el dni electrónico y un sistema cómo el de la policía al renovar certificados, que ves tu foto incluso usa tu huella. Algo aincronizado con la policía. Por seguridad se empezó a registrar las tarjetas prepago hace años, para identificar al titular. Imaginen que usan esa tarjeta SIM para poner una bomba o amenazar al al rey.

Wolf-ramio

Mi banco usa esa clave de firma de la que habláis. Clave que solo es necesaria para transacciones con dinero, pero no para consultas de la cuenta, cambios de domiciliaciones y tal. Yo no llevo tal clave apuntada en la cartera. Sería como lo de las pelis de dejar la clave en el dorso del teclado o el de un cajón. Pero con un poco de ingenio tengo tal clave accesible, aunque no fácilmente. Como bien dice alguno mas arriba, la comodidad y la seguridad son conceptos antagónicos.

Otra cosa es que recientemente tuve que hacer una gestión en Mapfre, mi seguro y tuve que enviar un selfie que me hice con el DNI pegado a la oreja, es decir que si al solicitar un duplicado de tarjeta que no te envian a domicilio si no que lo recoges, te hacen una foto con el DNI al lado, digo yo que sería mas seguro, ¿no?

A ver, totalmente seguro no hay nada. A mi me gusta menos que poco las tabletas digitalizadoras de firma cada vez mas habituales. Nada garantiza que en el ordenador al que estén conectadas se pueda instalar un software que capture esas firmas y puedan ser utilizadas fraudulentamente. Y dado que los bancos las usan, supongo que tendrán el mismo valor legal probatorio de compromiso que tiene una firma hecha con un bolígrafo.

AjS
1

Buenas tardes.

Pues me paso lo mismo y hace dos años que puse la reclamación por la AEPD y otros 70.000€ que les tocara pagar por lo mismo que la noticia. Lo malo es que te dan la razón pero ahora me toca ir al juzgado a denunciar por la cantidad que me robaron por su culpa y los daños y perjuicios ocacionados.

aepd.es/documento/ps-00636-2022.pdf

1