BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Móvil
🗞️

Protección de Datos condena a Digi por permitir SIM swapping de mi línea móvil

AjS
12
SIM en slot de teléfono móvil

En abril de 2021 me hicieron un duplicado de mi tarjeta SIM de Digi, reconociendo la compañía móvil, dónde lo habían hecho y en qué oficina, a 800km de donde yo vivo.

Me supuso que accedieran a mi cuenta bancaria y la estafa de x.xxx€, ya que pudieron acceder a una de mis cuentas y hacer cargos hasta que la dejaron a cero.

Hoy ha salido la multa de la protección de datos1 por 70000€, y lo malo de todo que después de molestarte tengo que denunciar en el juzgado los hechos contra la compañía para yo poder reclamar las cantidades robadas por su culpa, así como los daños y perjuicios. Pero bueno, que le pase a menos personas o ninguna es lo ideal.

Relacionado: Digi recibe su primera sanción de Protección de Datos por permitir el SIM swapping: 70.000 €

  1. aepd.es/documento/ps-00636-2022.pdf
vukits
6

tengo que denunciar en el juzgado los hechos contra la compañía para yo poder reclamar las cantidades robadas por su culpa, así como los daños y perjuicios.

No me jo*as, que no te ofrecieron un acuerdo extrajudicial O_o

Encima que perdiste dinero, ahora tienes que gastar dinero en abogado para recuperar lo robado.

Habiendo cuenta las cifras que maneja Digi (millones), me parece muy desconsiderado no devolverte tu dinero e indemnizarte por motu propio.

🗨️ 8
heffeque
6

Perdón de antemano por mi vena pedante.

"e indemnizarte por motu propio" sería "e indemnizarte motu proprio" (sin el "por" y con "r" en "proprio").

Explicación aquí.

🗨️ 6
Leonés R
2

Lo dice mal mucha gente. Los políticos constantemente, salvo alguno de cierto nivel. Si no se saben utilizar ciertas expresiones, lo mejor es usar otras para querer decir lo mismo. Da muy mala imagen ante los demás el escribir o hablar incorrectamente.

Yo voy a añadir una referencia interesante ante dudas que puedan surgir en el uso del lenguaje: fundeu.es

fundeu.es/recomendacion/motu-proprio-no-…-motu-propio

🗨️ 4
heffeque
2

"Si no se saben utilizar ciertas expresiones, lo mejor es usar otras para querer decir lo mismo."

Digo yo que quien no las usa bien es porque no sabe que las está diciendo mal.

Vukits habla y se expresa muy bien. Por no haber sabido que se dice "motu proprio" no le vamos a fustigar.

Diría que yo aprendí a cómo usarlo bien bastante después de haber terminado mis estudios universitarios, y que mucha gente, incluso la bien literada, puede no saber usar esa expresión bien.

🗨️ 3
vukits
1

jajaja.

no.lo sabía.

gracias por el apunte :)

pepejil

Habiendo cuenta las cifras que maneja Digi (millones), me parece muy desconsiderado no devolverte tu dinero e indemnizarte por motu propio.

Vodafone también maneja millones y se pasan por el forro a los clientes. No veo por qué habría que dignificar a ciertas operadoras si Digi tampoco es que nos debiera nada.

P B Fierro
4

Viendo esto me lo pensaría antes de contratar Digi.

Edito: (Si ya han cambiado la forma de obtener un duplicado de la SIM retiro lo dicho.)

Gracias por tu aporte y suerte en el juicio.

🗨️ 6
Alexvr
8

Ninguna operadora tiene un historial impecable con el SIM swapping. Tu hate no debería ser contra Digi por este motivo, debería ser por este motivo contra todas las operadoras.

Aokromes
3

en realidad, tu mensaje tendria que ser "viendo esto me lo pensaria antes de fiarme de los datos que dejo de mi mismo por todos lados" (desde el 2021 los de Digi han cambiado el protocolo para evitar que esto vuelva a suceder).

🗨️ 3
P B Fierro

Mi mensaje es así no por amar a Digi menos, sino por amar más a Digi. (Parafraseando erróneamente el discurso de Bruto …)

Lo que pretendo es que cuando busquen información sobre la opinión en foros encuentren mensajes así y cambien las políticas que considero erróneas.

🗨️ 2
Aokromes
3

despues de la primera sancion cambiaron el protocolo, tanto que ahora se queja la gente de lo complicado que es obtener un duplicado de tu SIM. solo que este caso es anterior a la primera sancion.

🗨️ 1
aeri
1

Vaya putada, no entiendo como los bancos usan solamente 2FA SMS, la normativa PSD2 ya entró absurdamente desactualizada e ignorante de los evidentes peligros que advierten la mayoría de agencias de ciberseguridad. Lo de incluir en el proceso una tarjeta física de coordenadas lo hacía mucho más seguro pero muchos bancos lo quitaron cuando aplicaron la PSD2.

🗨️ 11
PezDeRedes
1

Aunque usen SMS, tienen que tener las claves de tu banca. No cuadra.

🗨️ 10
aeri

No te entiendo, ¿qué no cuadra? Antes en muchos bancos para tareas sensibles como realizar transferencias de una cuenta a otra, además de la contraseña que es obvio para entrar a la banca online, te enviaban por SMS la posición de una tarjeta de coordenadas que tenías que buscar e introducir, ese método era mucho más resistente al SIM swapping porque necesitabas tener en tu poder la tarjeta física de coordenadas emitida por el banco. Esto muchos no lo han preservado desde la entrada del PSD2.

🗨️ 1
PezDeRedes

No cuadra que, por mucho que tengan acceso a mis SMS, siguen sin acceso a mi banca online.

skizoy
1

No voy a decir como lo hacen, para no darle ideas a los amigos de lo ajeno, pero yo lo veo muy factible.

🗨️ 1
EmuAGR

Los malos ya saben cómo lo hacen ellos mismos. Divulgar ayuda a quien quiere defenderse.

vukits

dichas claves se obtienen mediante SMS-ishing

🗨️ 1
PezDeRedes

Entonces tienes que caer también en una estafa…

jpl678

Hay bancos que para el login te piden el DNI.

Y puedes recuperar la contraseña con fecha de nacimiento, últimos digitos de una tarjeta y teniendo acceso al número de teléfono.

🗨️ 3
PezDeRedes

Y puedes recuperar la contraseña con fecha de nacimiento, últimos digitos de una tarjeta y teniendo acceso al número de teléfono.

Malo… la única forma posible de recuperar una clave de acceso a banca online debe ser ir a una oficina física, con tu DNI y tarjeta física. Y, para los bancos "online", pues a un cajero.

🗨️ 2
jpl678
lhacc
7

Lo que aquí faltan son consecuencias penales para los empleados que se saltan estos procedimientos.

🗨️ 1
drope95

No me gusta ser abogado del diablo pero pedir un delito para ese trabajador que cobra 900€ y que siguió el protocolo nefasto de la operadora…

HaMeR2
5

El problema no es de Digi, sino de la unión europea por no blindar nuestras cuentas. La seguridad de los bancos depende de las operadoras, lo cual es un sinsentido.

🗨️ 3
jpl678

La culpa es del banco y punto. Ya sólo por el hecho de ahorrarse quebraderos de cabeza, deberían tenerlo mejor montado.

Y también de los clientes, porque no se puede tener seguridad si queremos tener todo fácil.

La única culpa que tiene la UE es por no exigirles más.

🗨️ 2
lhacc

Ellos saben el % de fraude que tienen. Si lo tienen controlado, me parece estupendo, ya que la otra opción es dificultar mucho más las operaciones con la banca online; si para la mayoría de clientes la autenticación en dos pasos con SMS es suficiente no es necesario complicarlo más. Y si le pasa esto a alguien… mala suerte.

🗨️ 1
jpl678

Yo no lo veo así.

Que implementen dos sistemas: el fácil y el difícil.

Si contratas el sistema fácil, asume las consecuencias.

Y el que quiera dormir tranquilo, que ponga el difícil.

El problema es que no dan esa opción.

Alexvr
2

Que fastidio y que de basura humana que hacen semejante mierda. Ojalá tener la posibilidad de erradicar semejante peste…de un modo o de otro.

sorrillo
6

A quien han robado es al banco.

El banco es responsable de asegurarse que es el titular quien ordena la retirada de dinero, si tiene alguna duda puede exigir al cliente que acuda a una oficina con el DNI. Si no lo hace es el banco quien está asumiendo el riesgo y a quien han robado.

Así lo indican múltiples sentencias en contra de la banca, sentencias como éstas:

elfarodeceuta.es/sentencia-banco-condena…inero-estafa

elnortedecastilla.es/valladolid/condenan…1934-nt.html

elpais.com/economia/negocios/2022-07-03/…ancario.html

Si el banco no reestablece el saldo del cliente es cuando hay que denunciarlo.

🗨️ 1
P B Fierro
1

Tienes razón, pero te metes en juicios y puedes gastar un pastizal y pasar años. Con eso juegan los bancos.

AZp
1

Que dios me libre.

lzgz99

En primer lugar desearte toda la suerte posible para que puedas solucionar el problema cuanto antes. Esto es un problema que nos podría pasar a cualquiera de nosotros, y me gustaría hacer algunos comentarios no solo respecto al SIM swapping sino en general sobre las estafas cometidas por identificación de DNI.

Yo aquí veo un problema general de este país relativo a toda la identificación de identidad en general. Cada vez que veo advertencias de organismos oficiales respecto a no hacer fotos al DNI me entra la risa (por no llorar) porque una foto del DNI no debería ser considerada como prueba de identidad en ningún caso.

Sin ir más lejos, hasta hace poco vivía en un país en el que todo iba por identificación de DNI electrónico. Y era algo incluso más sencillo que el login con usuario y contraseña (de hecho algunas tiendas online tienen implementado este método de login). Puedes identificarte tanto con un lector de DNI y el DNI físico, como con una aplicación para el móvil que se registra de forma completamente segura (que no voy a explicar aquí). Además, el DNI tenía más usos como identificarte en el supermercado como cliente o sacar medicamentos de la farmacia.

Esto asegura que, si vas en presencial verifican que la foto coincida y luego introducen el DNI en el lector, donde se aseguran de que es válido y sigue en vigor. Y si es online, pueden certificar que eres tú el que dices ser.

Es más, allí la gente muestra su DNI en cualquier parte, incluyendo redes sociales y personas públicas, ya que una foto del DNI no sirve absolutamente para nada. Es un trozo de plástico.

Si por algún motivo te roban el DNI, que puede suceder como en cualquier parte del mundo, primero tienen que saber tu clave de acceso de lectura y tu clave de firma. E incluso aunque esto lo supieran, al denunciar el robo se pueden identificar las operaciones que se han realizado y revertirlas (y, evidentemente, al desactivar el DNI por robo deja de funcionar tanto en la autenticación online como en la presencial).

Sin embargo en España es bastante imposible hacer esto. El DNIe es extremadamente complicado de utilizar y, si tienes suerte funciona a la primera, pero como falle cualquier cosa puedes estar varias horas e incluso días para configurarlo, y ya no hablemos de utilizarlo o de firmar en dispositivos móviles, lo cual es prácticamente imposible.

Y como esto es así, ninguna empresa se atreve a requerir la autenticación electrónica porque absolutamente nadie estaría dispuesto a usarla. Es más, conozco un caso cercano de una persona a la que le robaron el DNI y pese a haber denunciado su robo y estar el DNI desactivado, solicitaron varios préstamos rápidos a su nombre aportando simplemente una foto del mismo.

De nada sirve (me refiero, no soluciona del todo el problema) que al pedir un duplicado de SIM te pidan el DNI o una fotocopia (por ejemplo si lo solicitas online), porque no se aseguran de que ese DNI sea real, de que siga vigente (y no denunciado por robo, etc), ni de que hayan obtenido el documento de forma fraudulenta.

Más allá de pedir 2FA a los bancos o de poner restricciones al SIM swapping, deberían asegurarse de implementar un sistema de autenticación electrónica que funcione de verdad. Y que una foto de tu DNI no sirva absolutamente para nada. Es más, deberían asegurarse de que aunque publiques fotos de tu DNI por todo internet o carteles por las calles, que no sirva absolutamente de nada.

🗨️ 7
lhacc

¿Dar facilidades a la identificación electrónica de personas? No gracias.

🗨️ 6
lzgz99

Podrías exponer un poco más tu punto? A mi la verdad es que en cuanto a privacidad y control de datos prefiero mucho más ese otro sistema. Cualquier acceso a tus datos queda registrado, aparte de que acceder a tus datos solo lo pueden hacer organismos oficiales, y de hecho en este país hay un caso de un policía sentenciado a prisión por acceder a datos criminales de su expareja sin tener ninguna causa criminal ni investigación abierta. Su pareja recibió una notificación en el móvil de "el policía X con DNI Y acaba de acceder a tus datos criminales" y tal y como lo recibió fue a comisaría a denunciarle, fue detenido, y fue juzgado por este hecho. Aquí, en España (y en otros tantos países), si alguien accede a tus datos (ya sea en la policía, en un hospital, en una entidad financiera, o un teleoperador consultando tu solvencia económica) en el 99,9% de los casos ni te enteras.

Es decir, un escenario ideal sería limitar al máximo toda nuestra información personal. Pero la realidad es que en el mundo en el que vivimos es totalmente imposible. Nuestros datos se encuentran en miles de ficheros automatizados y no somos conscientes ni quién ni dónde tienen nuestros datos. De la otra forma, hay un panel desde el que puedes ver un listado de quién tiene tus datos, ejercer los derechos sobre ellos, y un historial de acceso. Y esto lo aplican también a las administraciones públicas.

Esto lo menciono porque he sido usuario de dicho sistema y tuve que realizar un trámite burocrático. Al enviarlo en la sede electrónica, iba recibiendo notificaciones de "la persona X con DNI Y del departamento de Z ha consultado tus datos relativos al empadronamiento.", "la persona X con DNI Y del departamento Z ha consultado tus datos fiscales", "se ha generado un fichero automatizado con X datos para proceder al trámite Y"…

Ni qué decir que cuando se utiliza el DNI como autenticación online o presencial en empresas privadas no se comparte ninguno de tus datos personales, ni siquiera el nombre. El sistema funciona de una forma similar a como cuando inicias sesión con Google o Apple. Al registrarte el sistema de autorización devuelve "se ha registrado el usuario con ID 10", y al iniciar sesión simplemente se devuelve un "el usuario con ID 10 se ha autenticado correctamente", y es el sitio web o comercio físico el que se encarga de relacionar ese ID con los datos que ellos tengan sobre ti. Si quieres, y simplemente por la comodidad de no rellenar todos los datos durante el registro, puedes marcar de forma opcional que se compartan también datos como nombre, dirección, etc (por ejemplo en una tienda online). Esto viene desmarcado por defecto, es opcional, y no es un dato que la tienda no podría obtener utilizando cualquier otro método de autenticación.

🗨️ 5
lhacc

Pues que abre la puerta al "introduzca su dni para acceder a facebook"

🗨️ 4
lzgz99
🗨️ 3
lhacc
🗨️ 2
lzgz99
🗨️ 1
lhacc