Los estafadores aprovecharon la copia del número de teléfono para acceder a la aplicación del banco ING Direct y solicitar un préstamo de 43.000 euros.
La sanción ha sido impuesta por la Agencia Española de Protección de Datos (AEPD).
facua.org/es/noticia.php?Id=19118
Este problema de seguridad se resuelve activando las nuevas notificaciones vía app del banco, más seguras en vez de los viejos SMS (corregidme si me equivoco).
Y que los de las tiendas físicas no la caguen de esa manera, claro.
Para entrar a ING hay que saber usuario y clave (y DNI y fecha de nacimiento si es la primera vez). Y para pedir un préstamo normalmente hay que confirmar con tu clave. Así que algo falta en la noticia, con solo el número de móvil no se puede entrar y pedir un préstamo. Ni con ING ni con ninguno.
El estafado debió ser muy descuidado para dar lugar a que la clave de su banco cayera en malas manos. Capaz sería de llevarla en la cartera junto al DNI 🤣.
¿O quizá teniendo el DNI robado y, por tanto, sabiendo fecha de nacimiento y NIF y el móvil ya solicitas nueva clave?
Es interesante aclarar esto.
Ya te pueden robar hasta los calzoncillos que sin tu clave no te atienden ni por teléfono. Así que algo más hay, no solo una SIM duplicada.
Estás dando por hecho que las medidas de seguridad que los bancos tenían hace 4 años son las mismas que las de hoy y no es así.
Prácticamente son las mismas, por lo menos en los bancos con los que yo trabajo, nada ha cambiado sustancialmente en los últimos 5 años, todos ya implementaban medias de 2FA, puede que el cambio más notable, sean los temas de "operaciones habituales" y la firma biométrica, poco más.
setenta mil.
qué barata ha salido la multa
Yo desinstalé la app de ing por inusable y te garantizo que para hacer cualquier operación, por pequeña que sea, tengo que introducir mi clave dos veces, además del SMS.
Si no sabes la clave, por mucho SMS que te manden, es inútil.
Y si pierdes/olvidas la clave, para solicitar otra antes (no sé ahora) por teléfono te decían que usaras la tarjeta de coordenadas, que yo aún conservo por si acaso por recomendación de la misma ing cuando desinstalé la app. Si no tienes,o tenías, esa tarjeta tampoco podías hacer nada.
Como te comenta el compañero, algo más debe de haber.
Uso casi todos los días la app de ING y de la única pega que tengo es que la interfaz pide a gritos renovarse.
Por lo demás, sólo me pide clave o más rápido poniendo la huella solamente en el acceso. Para hacer consultas no me pide la clave en ningún momento. Si tengo que hacer transferencias depende de la cuantía. En cuantías altas me pide la clave de operaciones y si no, como mucho un SMS (que podrían hacerlo como en CaixaBank a través de push de notificaciones).
En mi caso, al vivir fuera de España, la app no funcionaba. Y no solo a mi, sino a otros compañeros en diferentes países, así que me quedé solo con el acceso vía web. De ahí toda esa parafernalia, que no me parece mal, para hacer uso de mi cuenta.
Que yo recuerde, había mucha gente que en su momento comentaba que la app fallaba más que una escopeta de feria. Me alegro que las cosas hayan mejorado en ese aspecto desde entonces.
¿No ha sido este verano cuando han renovado la app de ING? A mi no me desagrada, sobre todo después de tener que usar la de Kutxabank y La Caixa.
Han hecho ciertas modificaciones a nivel de UI en todos los apartados (sobretodo en el apartado "Money Up!" donde han añadido funcionalidades).
Pero mi queja no va referida a eso, sino a que internamente sigue siendo un Webview, en vez de ser una aplicación nativa con llamadas a API. Además, aprovechando que la app de ING tiene sistema de dispositivos vinculados, estaría bien que dejaran de usar SMS y prioricen el uso de mensajes push como hace Caixabank.
De todas maneras y quitando los defectos que he escrito, cumple perfectamente su función y llegan las notificaciones perfectamente. A mi tampoco me desagrada.
normalmente te mandan un SMS con una web falsa metes hay los datos y ya tienen tus claves lo hacen también suplantan el numero de telefono de tu banco para mandarte el SMS y te llega como te llegaria de otro banco con eso solo les hace falta un duplicado de tu SIM y ya pueden hacer lo que quieran.
Si cuando vas al banco, otra persona distinta de la titular no puede hacer nada, ni pedir un duplicado de una cartilla. Pero cuando pasa en telecomunicaciones, parece que todo está permitido. Es que es muy grave que se pueda hacer un duplicado de una SIM si no eres el titular, no sé que instrucciones y restricciones de seguridad tendran, pero parece claro que son insuficientes, y algo pillo se sale con la suya.
Lo primero es que esta multa la debería pagar íntegramente la persona responsable, en este caso, el trabajador de la tienda.
Lo segundo es que en lugar de engordar los cofres del Estado, el dinero debería ir al consumidor afectado.
Una cosa es la multa que la AEPD imponga a la empresa como responsable de que se cumplan los protocolos de seguridad, y otra muy distinta la responsabilidad que tenga la persona que haya realizado el duplicado sin tomar las debidas precauciones, son procedimientos independientes, no excluyentes y aplicados por organismos diferentes. Como ya se ha repetido mil y una veces, una multa se impone para castigar las infracciones y evitar en la medida de lo posible que se continúen cometiendo, no para resarcir a los afectados.
Y como yo he repetido mil y una veces todas estas cosas las entiendo y estoy en desacuerdo.
Por poner un ejemplo, en mi opinión, a no ser que la AEPD sea capaz de demostrar que la empresa (en este caso Orange) ha sido particularmente negligente a la hora de formar a los trabajadores con los procedimientos de duplicado de SIM, no debería haber multa a la empresa.
Me parece bien que estés en desacuerdo, cada uno tiene su forma de pensar y el 99% del mundo civilizado piensa lo contrario, ¿estará equivocado el 99% del mundo equivocado?
En cuanto a lo de demostrar o dejar de demostrar, ¿te crees que Orange si cree que esa sanción no está justificada no la va a recurrir?, tienen los medios y el tiempo suficiente para hacerlo, no te preocupes por ellos que no vas a heredar la empresa.
Hola, he buscado la resolución de la AEPD y simplemente pego una parte muy relevante de la misma para que se pueda opinar con conocimiento de causa:
(…) Tal y como hemos tenido oportunidad de poner de relieve en el escrito de contestación al requerimiento de información E-08994-2019, notificado el pasado mes de noviembre, (…), el Grupo Orange en España, del cual también forma parte Simyo, ha reforzado y robustecido los Protocolos implantados para la tramitación de determinados actos (entre los que se encuentran los de duplicado de tarjetas SIM).
En efecto, se viene a manifestar que, habiendo detectado que la operativa empleada por los presuntos suplantadores de identidad en la marca Simyo consistía en (…), se han implementado nuevas modificaciones en el procedimiento instaurado, a fin de dotarlo de medidas adicionales para una mayor robustez.
En primer lugar, Simyo ha eliminado la posibilidad de (…), con fecha 23 de agosto de 2019, de tal manera que (…). Esta medida ha sido adoptada teniendo presente la naturaleza de los Puntos de Venta Simyo, puesto que no se tratan de tiendas propias.
En segundo lugar, y en relación con lo anterior, también se ha adoptado la medida de (…), pues si bien hasta la fecha 26 de agosto de 2019 era posible (…)”.
En tercer lugar, y teniendo presente que actualmente tanto el envío de la tarjeta SIM como la posterior activación solo es posible realizarla mediante (…), Simyo ha implementado, con fecha 26 de agosto de 2019, diversas medidas adicionales en la realización de determinados actos, con el objetivo de garantizar la identidad del cliente con la finalidad de evitar que se repitan situaciones similares a la que nos ocupa.(…)”
(los paréntesis vienen tal cual en la resolución, supongo que para no dar ideas).
Es decir, Orange viene a reconocer que su operativa de duplicado de SIM era defectuosa y vulnerable a fraudes, y que cambiaron dicha operativa después del incidente.
