El SIM swapping trae de cabeza a las operadoras móviles, no solo por el grave perjuicio que sufre su cliente cuando es víctima de este fraude, sino porque después llega la Agencia Española de Protección de Datos con sanciones de 70.000 € si se trata del primer incidente y de 200.000 en posteriores ocasiones.
En febrero de 2022 cayeron en pocos días 5,8 millones en multas por este motivo, a las que tuvieron que hacer frente Movistar, Orange, MásMóvil y Vodafone. Digi tampoco se libra y acumula más de 700.000 € en sanciones.
En general todas las compañías han blindado sus procesos internos para minimizar la posibilidad que un criminal se haga pasar por el cliente y consiga duplicar la SIM, dejando al dueño legítimo de la línea sin servicio mientras él toma el control y puede autorizar operaciones bancarias, completando así el robo. Aun así, las redes criminales que han hecho del fraude una profesión no se rinden y buscan nuevas formas de engañar a las operadoras.
Lo que no habíamos visto hasta ahora, o por lo menos no existían pruebas claras, es de los criminales ofreciendo sumas de dinero para sobornar a los empleados de las compañías con el fin de conseguir su colaboración con los fraudes.
Sanción a Orange por no controlar a comerciales
Orange tendrá que hacer frente a una nueva sanción de la AEPD1 por SIM swapping por un montante que asciende a 1,2 millones de €, lo que la convierte en la multa más dolorosa que sufre por este motivo hasta la fecha. La agencia considera a la compañía responsable por no evitar la copia de la tarjeta SIM de un cliente, con la que los atacantes pudieron autorizar la transferencia de 9.000 € de su cuenta bancaria.
Lo llamativo del caso es que en esta ocasión los criminales contaron con la colaboración de dos empleados de una tienda Orange situada en Madrid, gestionada por el distribuidor comercial Tower Phone. Los agentes que trabajaban atendiendo al público habrían sido captados por una red criminal que les ofreció parte del botín a cambio de su colaboración. Orange argumenta que esta es una tendencia creciente en el sector:
Se ha podido constatar que durante los primeros meses del 2023 se han incrementado los ataques en puntos de venta captando comerciales para realizar actos delictivos a cambio de grandes recompensas económicas.
La investigación de Orange descubrió que en la tienda se realizaron un total de 5 duplicados de SIM entre el 6 de octubre y el 15 de noviembre de 2022.
El distribuidor despidió y presentó una denuncia penal contra los dos empleados, pero esto no ha impedido que la AEPD sancione a la operadora al entender que también tiene que limitar y controlar el acceso de los empleados y los colaboradores a la información interna que maneja la empresa sobre sus clientes.
