Orange ha aceptado el pago voluntario de una multa de 42.000 € por permitir un desvío de llamadas solicitado fraudulentamente por un tercero que se hizo pasar por uno de sus clientes. La AEPD se refiere a esta técnica como la evolución del SIM swapping.
Los ciberdelincuentes siguen buscando nuevos métodos para saltarse las verificaciones de seguridad de doble factor que requieren tener acceso a la línea de la víctima para poder aprobar operaciones como transferencias desde su cuenta bancaria. Con los datos personales del usuario en su poder, obtenidos gracias a las frecuentes fugas de información que sufren todo tipo de empresas y entidades oficiales en ataques de ransomware como el que sufrió recientemente Euskaltel, a los atacantes les resulta relativamente sencillo usurpar la identidad de la víctima para solicitar una copia de su tarjeta SIM, técnica conocida como SIM swapping Las operadoras han reforzado sus controles para limitar en lo posible este fraude después de las numerosas sanciones impuestas por las autoridades de protección de datos, así que los criminales buscan alternativas para obtener acceso a las comunicaciones del usuario.
Desvío de SMS como "SIM swapping" de segunda generación
La AEPD (Agencia Española de Protección de Datos) habla de SIM swapping de segunda generación en un expediente abierto a Orange por la denuncia de uno de sus clientes que se encontró con retiradas de dinero de sus cuentas bancarias que habían sido autorizadas tras activar un desvío de llamadas en su línea que él no había solicitado.
Para activar el desvío, el servicio de atención al cliente de Orange requiere superar un control de seguridad que consiste en pedir al que llama varios datos de su contrato. Según la Política de Seguridad, deben variar en cada llamada los datos que se piden, como dígitos del DNI, de las líneas telefónicas, importe de las facturas, número de contrato o dígitos de la cuenta bancaria.
En el caso denunciado la persona que llamó asegurando ser el titular de la línea y tras aportar nombre, apellidos, DNI, fecha de nacimiento, dirección y código postal, solicitó un desvío de llamadas de la línea hacia un tercer número, alegando que su SIM había sufrido desperfectos y que estaba teniendo problemas para recibir SMS.
Un desvío de llamadas no implica directamente el desvío de los mensajes SMS destinados al mismo número, que deben activarse de forma adicional, razón por la que los delincuentes especificaron que este era su problema.
La AEPD entiende que la verificación que Orange realizó no es suficiente para comprobar la identidad del cliente por lo que le impone una sanción de 70.000 € que Orange ha decidido pagar voluntariamente para reducir la cantidad a 42.000.
