Digi establece un aviso por SMS y una palabra clave para proteger las líneas móviles de sus clientes del duplicado de tarjetas SIM para cometer fraude. La operadora acumula 10 sanciones y 700.000€ de multas en 6 meses.
El SIM swapping, o duplicado fraudulento de tarjetas SIM, afecta en mayor o menor medida a todas las compañías telefónicas. Es un tipo de delito en el que los delincuentes se hacen pasar por la persona que han elegido como víctima, para solicitar a la operadora un duplicado de SIM, dejando al usuario auténtico incomunicado y consiguiendo acceso a su línea móvil, lo que les permite autorizar operaciones online, como transferencias bancarias.
Digi paga 10 sanciones por SIM swapping
Digi se estrenó con su primera sanción de la Agencia Española de Protección de Datos el pasado mayo tras la denuncia de uno de sus clientes. La operadora facilitó el control de su línea a un tercero sin verificar correctamente su identidad. No se trataba de un caso aislado. Desde entonces Digi ha sufrido el castigo de la AEPD hasta en 10 ocasiones por las mismas razones. El presupuesto destinado a pagar estas multas no es pequeño. A pesar de que Digi ha recurrido cada una de las sanciones, la agencia ha rechazado todas ellas, por lo que la suma total a pagar asciende a 700.000 €.
Las sanciones han continuado a pesar de que la operadora ha cambiado sus procesos internos para tratar de parar esta plaga. Digi explica en un post en su blog1 las medidas que ha tomado, como avisar por SMS al titular en el momento que alguien solicita un duplicado para que lo cancele cuanto antes si no ha sido solicitado por él. Si el cliente recibe este SMS y el no ha hecho ninguna solicitud, puede llamar al 1200, donde se cancela la SIM duplicada y se establece como medida extraordinaria una palabra clave para futuras solicitudes de duplicados. La solicitud debe ser presencial en un punto de venta Digi, donde se tiene que desplazar físicamente el titular junto con su documentación personal original y vigente. Además cuenta con un departamento centralizado encargado de aprobar los duplicados.
Aun con todas estas precauciones, en algunos casos los delincuentes han conseguido engañar a la operadora. Digi protesta en sus recursos de que se le imponga toda la responsabilidad en casos en el que el atacante cuenta con abundantes datos personales de la víctima procedentes de otras fuentes, como las filtraciones de datos que sufren frecuentemente las empresas, lo que hace que sea creíble la suplantación de identidad.
Digi manifiesta que extrema sus esfuerzos por identificar y mitigar los intentos de fraude, y no puede imponérsele una responsabilidad absoluta en la detección del mismo; ante un tercero que dispone de los datos telefónicos, identificativos y de los datos bancarios del reclamante, que cumple el protocolo, identificándose de forma telefónica y de forma presencial.