La Agencia Española de Protección de Datos multa simultáneamente a las cuatro grandes operadoras por los incidentes que varios de sus clientes han denunciado ante el organismo público tras sufrir un duplicado de SIM para vaciarles la cuenta bancaria.
La AEPD publica varias resoluciones en las que recopila los casos de SIM swapping que los ciudadanos han denunciado desde 2019 ante la entidad y concluye que las operadoras no han protegido diligentemente los datos personales de sus clientes, al no aplicar los mecanismos necesarios para comprobar la identidad del titular a la hora de emitir un duplicado de la tarjeta SIM. Según la agencia, la SIM está asociada a un número único que identifica a su titular por los que se trata de un dato personal que solo puede facilitarse a su propietario.
Movistar tendrá que pagar un total de 900.000 €. Orange se enfrenta a dos multas, la primera por importe de 700.000 € a los que hay que sumar 70.000 € por las denuncias de los clientes de su segunda marca Simyo. MásMóvil tendrá que pagar 200.000€ por los problemas reportados por clientes de Yoigo.
En el caso de Vodafone, la AEPD ha sido especialmente severa imponiendo la multa más alta de todas, de 3.940.000€. La operadora señalaba como responsables a los delincuentes y a fallos humanos de sus empleados, pero la agencia concluye que la actuación de compañía fue negligente al tomar medidas correctoras solo en el momento que la AEPD inició la investigación.
En las resoluciones publicadas por la AEPD se relata que los usuarios afectados sufrieron transferencias desde su cuenta bancaria y de otras cuentas de los que eran titulares de hasta 30.000 €, transferencias de hasta 500 € mediante Bizum o la obtención de préstamos de hasta 43.000 € a su nombre. En algunos casos el criminal llamó por teléfono a la víctima haciéndose pasar por su operadora para obtener los datos necesarios.
Cómo funciona el SIM Swapping
El fraude conocido como SIM swapping consiste en que los criminales falsifican la documentación del titular de una línea móvil para obtener un duplicado de la tarjeta SIM. Para ello se presentan en una tienda de la operadora con documentación falsificada a partir de los datos personales del cliente. Normalmente presentan una falsa denuncia policial de que han sido víctimas del robo del móvil y la cartera con la documentación original, adjuntando una fotocopia del DNI con la foto cambiada por la del delincuente que se presenta en la tienda. El objetivo es hacerse con el control de la línea móvil, de forma que al hacer un movimiento bancario como una transferencia reciben el código de autorización necesario para completarla.
Para que el SIM swapping tenga éxito, previamente deben haber obtenido los datos personales y de acceso a la cuenta bancaria de la víctima mediante phishing, como ocurre con los famosos SMS fraudulentos. En los relatos recogidos por la AEPD se muestra como el primer indicio que detecta la víctima es que su móvil se queda sin cobertura, puesto que la operadora empieza a dar servicio a la SIM duplicada, desactivando la original.