Digi se estrena ante la Agencia Española de Protección de Datos (AEPD) con una sanción de 70 mil € por no verificar la identidad al entregar en tienda un duplicado fraudulento de la tarjeta SIM de uno de sus clientes, lo que permitió que se le robase dinero de la cuenta bancaria.
Las operadoras de telecomunicaciones están acostumbradas a ser sancionadas por las autoridades de protección de datos por diversos motivos, como cuando sus equipos comerciales realizan spam telefónico no respetando la Lista Robinson, cuando no protegen debidamente los datos personales de sus clientes en una filtración, o aún más grave, cuando sus medidas de control no son capaces de frenar una suplantación de identidad para duplicar la tarjeta SIM de un cliente. Las multas llegan a pesar de sus esfuerzos para contener las denuncias de los clientes afectados a través de servicios de mediación como el puesto en marcha recientemente con Autocontrol.
Digi no forma parte de este acuerdo, entre otras cosas, porque hasta ahora no le había hecho falta. La operadora rumana no se había visto involucrada en una denuncia ante la AEPD, pero dado su crecimiento continuo en los últimos años, era cuestión de tiempo que esto ocurriese. En el caso que nos ocupa, Digi se estrena ante la AEPD debido a su débil control de los duplicados de tarjetas SIM.
SIM swapping para poder autorizar transferencias fraudulentas
La verificación en dos pasos que usan las entidades bancarias y otros servicios para autentificar a sus clientes, ha hecho que los delincuentes necesiten conseguir acceso a la línea móvil de la víctima, con el fin de leer los códigos de autorización que llegan por SMS al mover fondos de las cuentas bancarias. Con los datos personales del usuario obtenidos previamente engañándole mediante phishing, los delincuentes se presentan ante la operadora suplantando su identidad para pedir un duplicado de la tarjeta SIM. Es lo que se conoce como SIM swapping. La SIM del usuario legítimo se desactiva, quedándose éste sin línea y todas las comunicaciones pasan a la nueva SIM, de forma que los delincuentes pueden autorizar los movimientos.
En el caso denunciado por un cliente de Digi, su servicio de atención al cliente recibió una llamada solicitando el duplicado de la SIM. El interlocutor superó el proceso de verificación al disponer de los datos personales de la víctima, incluyendo los 4 últimos dígitos de la cuenta bancaria, por lo que se le entregó un código autorizando el duplicado. Con este código solo hizo falta visitar un locutorio distribuidor de Digi para recoger la nueva SIM, donde no se solicitó ninguna identificación.
En el establecimiento en que se expidió el duplicado de la tarjeta SIM debió haberse comprobado el original del documento identificativo, siendo así que, de haberse efectuado correctamente esta operación, el duplicado debió haber sido denegado.
La tarjeta duplicada estuvo operativa solo unas horas, ya que tras quedarse sin línea el cliente se puso en contacto con la operadora, que restableció el servicio, sin embargo, este tiempo fue suficiente para que se realizarán "numerosas transferencias desde su cuenta bancaria".
Digi trató de defenderse alegando que había seguido los protocolos y no facilitó ningún dato personal, ya que los delincuentes ya los tenían. Como atenuantes pidió que se tenga en cuenta que es su primera infracción y que a raíz del incidente ha reforzado las medidas de seguridad solicitando autorización firmada y copia del DNI del titular. Eso no ha evitado que la agencia le imponga una sanción de 70.000 €.
En un caso reciente la operadora R se libró de la sanción2 al demostrar que a pesar de haber entregado el duplicado de la SIM a los criminales, había seguido correctamente el protocolo, haciendo una copia del DNI falsificado que presentó el delincuente y comprobando que coincidían los datos.