BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Protección de Datos multa a las operadoras con 5,8 millones por permitir el duplicado fraudulento de SIM

Josh
SIM en slot de teléfono móvil

La Agencia Española de Protección de Datos ha multado simultáneamente a las cuatro grandes operadoras por los incidentes que varios de sus clientes han denunciado ante el organismo público tras sufrir un duplicado de SIM para vaciarles la cuenta bancaria.

La AEPD publica varias resoluciones en las que recopila los casos de SIM swapping que los ciudadanos han denunciado desde 2019 ante la entidad y concluye que las operadoras no han protegido diligentemente los datos personales de sus clientes, al no aplicar los mecanismos necesarios para comprobar la identidad del titular a la hora de emitir un duplicado de la tarjeta SIM. Según la agencia, la SIM está asociada a un número único que identifica a su titular por los que se trata de un dato personal que solo puede facilitarse a su propietario.

Movistar tendrá que pagar un total de 900.000 €. Orange se enfrenta a dos multas, la primera por importe de 700.000 € a los que hay que sumar 70.000 € por las denuncias de los clientes de su segunda marca Simyo. MásMóvil tendrá que pagar 200.000€ por los problemas reportados por clientes de Yoigo.

En el caso de Vodafone, la AEPD ha sido especialmente severa imponiendo la multa más alta de todas, de 3.940.000€. La operadora señalaba como responsables a los delincuentes y a fallos humanos de sus empleados, pero la agencia concluye que la actuación de compañía fue negligente al tomar medidas correctoras solo en el momento que la AEPD inició la investigación.

En las resoluciones publicadas por la AEPD se relata que los usuarios afectados sufrieron transferencias desde su cuenta bancaria y de otras cuentas de los que eran titulares de hasta 30.000 €, transferencias de hasta 500 € mediante Bizum o la obtención de préstamos de hasta 43.000 € a su nombre. En algunos casos el criminal llamó por teléfono a la víctima haciéndose pasar por su operadora para obtener los datos necesarios.

Cómo funciona el SIM Swapping

El fraude conocido como SIM swapping consiste en que los criminales falsifican la documentación del titular de una línea móvil para obtener un duplicado de la tarjeta SIM. Para ello se presentan en una tienda de la operadora con documentación falsificada a partir de los datos personales del cliente. Normalmente presentan una falsa denuncia policial de que han sido víctimas del robo del móvil y la cartera con la documentación original, adjuntando una fotocopia del DNI con la foto cambiada por la del delincuente que se presenta en la tienda. El objetivo es hacerse con el control de la línea móvil, de forma que al hacer un movimiento bancario como una transferencia reciben el código de autorización necesario para completarla.

Para que el SIM swapping tenga éxito, previamente deben haber obtenido los datos personales y de acceso a la cuenta bancaria de la víctima mediante phishing, como ocurre con los famosos SMS fraudulentos. En los relatos recogidos por la AEPD se muestra como el primer indicio que detecta la víctima es que su móvil se queda sin cobertura, puesto que la operadora empieza a dar servicio a la SIM duplicada, desactivando la original.

Aeri
2

Me parece genial, en mi caso fue increíblemente fácil y rápido lo que tardé en conseguir un duplicado de mi SIM, me dio tanto miedo hasta el punto que llegué a desactivar el doble factor móvil donde pude.

Con que te cojan una carta del banco del buzón ya tienen todo hecho (al menos cuando lo hice en Movistar), me la mandaron a la ubicación que les dije y no tuve que presentarme en ninguna tienda ni enviar nada de documentación. Me parecía bueno el método de las tarjetas de coordenadas porque así solo con el número de teléfono no pueden hacer nada, pero muchos bancos lo han quitado.

Para las aplicaciones y servicios web que lo soporten recomiendo bastante una llave FIDO2 USB/NFC como doble factor y dejar de usar el SMS de confirmación ya que a fin de cuentas el número de móvil nunca lo puedes controlar.

CuloDePez
6

Mira que todas, todas, todas, lo hacen como el culo. Pero no se como se las apaña Vodafone que siempre esta un paso por delante. Mas de cuatro veces la multa a Movistar cuando tiene menos clientes. Y por cierto, que imagino que mas pequeñas se han librado de una multa general, pero hay experiencias iguuales con operadores mas pequeños, como Digi y el tipico locutorio que no pide ni un papel.

🗨️ 2
tipodeincognito

Todas, no hay una que sea perfecta aunque todos tengamos nuestras preferencias, pero es lo que dices, no se como se apañan en VF. Ah, lo de Digi y el locutorio es un clásico, en el locutorio donde yo trabajé, teníamos solo llamaya para vender, y no había nada que no fuese con datos (y más en la zona en la que estaba el locutorio xD), pero muy cerca había otro que no pedía una soberana mierda y vendía de todo, Vodafone, Digi, Lebara, llamaya, etc…Me sorprende más que Vodafone no lo compruebe, pero esas marcas pequeñas, al menos antes que no pertenecían algunas a MM, tampoco te pedían nada a nivel tienda/locutorio, si no le mandabas documentación, les sudaba, no la pedían

L Rondon

En Digi ahora debes llamar a Atención al cliente, pasar política de seguridad y ellos te generan un número de ticket que debes informar en el punto de venta, el punto de venta debe tener ese ticket asignado… Para los casos de pre pago si no estás registrado como titular te generan el ticket de cambio de titular y de duplicado SIM

Russell

La famosa ley de protección de datos, ayer cuando envié un paquete por mensajería me dieron un justificante en un folio reciclado donde por el reverso ponía datos personales de otros clientes, nombres con apellidos, dirección, teléfono, entre otros datos personales.

Cualquiera con malas intenciones podría pedir duplicado de SIM con estos datos que deberían ser de uso interno de la empresa y no desacerse de estos de esta manera.

Otro ejemplo de que la Ley de Protección de Datos a algunos les da lo mismo.

🗨️ 1
el-xalso

Yo cuando estuve en Amena, por problemas a la hora de hacer el pedido online , lo tuve que hacer por teléfono. Pedí un duplicado del comprobante por teléfono y me mandaron el de otra persona.

Nombre, apellidos, dirección de instalación, su número de teléfono móvil, su dirección de email, el teléfono fijo asociado a la tarifa que había contratado… y el IBAN, pero bueno, con asteriscos así que sólo se podían ver los 4 últimos números.

No sé muy bien para que sirve que comprobasen mis datos por teléfono. Supongo que un error humano pero… así tan fácil?

Walid

Siento decirlo pero Digi tambien tiene un buen carro, y luego, no hablemos de Lycamobile, Lebara, llamaya y esas…

vukits
2

!Vaya hostia ¡Vaya hostia!

Vodafone no son malvados… sino más bien son un desastre… cortesía de los que les vendió Ono.

La verdad, esto es una magnifica noticia para seguridad en este país :)

Nas2meetu
2

Este es el camino para que espabilen ya que solo se interesan por algo cuando les duele el bolsillo, la AEPD debería tomar nota y duplicar o triplicar las sanciones si reiniciden.

P B Fierro

Ya era hora, buena noticia

Aleck Trevelyan

Entiendo que para hacera algo asi, hace falta el DNI no? Como es posible que sin tenerlo, puedan realizar el duplicado en plena tienda? @_@

CptMosca1
3

Hasta hace poco mas de un año, conseguir un duplicado de SIM era muy facil. Llevo 6 años vendiendo telefonía a nivel de barrio, y la mayoría de los sistemas de los operadores no pedían mas que el número de teléfono y el documento de identidad del titular, y a veces ni eso.

Ahora, el titular se debe identificar llamado al operador, y solo cuando lo ven claro, me permiten hacer el duplicado. Es mas incómodo, pero ganas en seguridad.

El único operador que sigue en su norma de "indio enfadao que te complica la vida" es Lycamobile. Para hacer un duplicado, te he de hacer una SIM con número nuevo, y después el cliente ha de llamar a Lyca para que le identifiquen y le asignen el número antiguo y el saldo, sobre el número nuevo.

Solo atienden al titular, así que la fiesta está asegurada. Mis clientes Lyca suelen ser ciudadanos de paises del este con un castellano bastante limitado, que no recuerdan si se registraron con pasaporte o NIE. Así que vienen a que le solucione un problema, y solo puedo darle otro. Al mínimo error al deletrear su nombre o número del documento, te bloquean la operación.

pil4f
1

Dejo la respuesta que me dieron desde Simyo con el procedimiento que en teoría siguen para evitar suplantaciones con las tarjetas SIM:

[…] En respuesta a tu petición, te informamos que las políticas de seguridad que tenemos para evitar suplantaciones o fraudes con las tarjeta SIM, es que para tramitar el duplicado de SIM, puedes llamar gratis al 1644 (Atención al cliente de Simyo), donde te realizaremos el pedido, además por motivos de seguridad debes enviar a documentacionATsoydesimyo.es el ICCID de la tarjeta (19 dígitos en el revés de la SIM, empieza por 8934) o el código PUK (código en área de clientes Mi cuenta-código PUK) y tu DNI por ambas caras.

La tarjeta va con un troquelado especial que se adapta a cualquier móvil y cuando la recibas la debes activar en tu área personal o llamando al 1644, unicamente confirmando estos datos, como puedes ver son datos exclusivos que debe tener el titular de la línea, y esa es la política de seguridad implementada para evitar todo tipo de gestiones con la SIM. […]

fcuevas28

es un pitorreo esto de que cualquiera se puede hacer de un duplicado de la SIM de uno, con lo sencillo que es, comprobar que asi es, y si hace falta personarse en una tienda, y firmar un documento, Y SOLO EL TITULAR DE LA LINEA. y si no existe posibilidad de tienda fisica, mandar solicitud firmada digitalmente.

kafeolé

No es mas facil, facilitar al usuario, una clave o frase secreta, que deba facilitar antes, para poder realizar un duplicado de SIM? y para recuperar esa clave o frase tenga que esperar 1 mes?

🗨️ 2
ximin

Luego la gente no se acordaría.

🗨️ 1
kafeolé

Si no se acuerdan, pues tiene 1 mes para recuperarlo, ya verás que no le duplican la SIM.

Fjmoya
1

Además del SIM swapping existe la portabilidad swapping, donde la operadora es aún más responsable y consiste en que tu línea es portada de una operadora a por ejemplo Vodafone , y la portabilidad en origen se pide con tus datos pero en destino otro titular, de forma que te roban la línea con la colaboración de la operadora. Esto está basado en un caso real que conozco y la agencia de protección de datos perdono a Vodafone aludiendo a un simple fallo de número (también se equivocaron en el DNI y nombre del titular}, cuando en realidad es otra forma de hacer SIM swapping por medio de una portabilidad.

🗨️ 2
vukits

Lo que he notado es que la AGPD perdona la primera, la segunda… pero ya a la tercera vez da una buena hostia.

Es mi impresión, no sé…

🗨️ 1
Fjmoya
1

El problema es que la AGPD no tiene conocimiento (aunque debería) de todos los procedimientos que afecta a la protección de datos(en el caso que conozco al ser una portabilidad móvil Ley General de Telecomunicaciones y resoluciones de la Comisión del Mercado de Telecomunicaciones) por lo que la AGPD se fía del responsable de datos de la Operadora Vodafone (este como es lógico va a defender a Vodafone), por lo que a primeras se creen lo que dice la propia Vodafone, que luego salen mas casos y finalmente "aprenden" que si se vulneran realmente los datos, ahí es donde ya "se enfandan con Vodafone" y aplican las sanciones. Lo que si esta claro es que si no sancionan ,las operadoras no van a tomar medidas, por lo que al final persisten y la AGPD tiene todo el tiempo del mundo para "aprender" y sancionar. España es así.

patton
2

A mi esto de las multas a la operadora, me parece un cachondeo.

1 millón de euros a cada usuario al que le ha ocurrido esto por parte de la operadora de turno y ya verás como pierden el culo por poner mil maneras de evitar que te dupliquen la SIM por la cara.