España│ El “SIM swapping” y el motivo por el que la AEPD está multando a empresas de telefonía

La Agencia Española de Protección de Datos ha sancionado a distintas empresas del sector telefónico por sucumbir ante el “SIM swapping

España│ El “SIM swapping” y el motivo por el que la AEPD está multando a empresas de telefonía
21 de abril de 2022

En los últimos meses, distintas han sido las resoluciones de la Agencia Española de Protección de Datos (“AEPD”) que han impuesto a empresas del sector telefónico el pago de multas por haber sido objeto de fraude con la técnica “SIM swapping”. A través del presente artículo, analizaremos qué es y en qué consiste la técnica del “SIM swapping” y porqué las empresas telefónicas afectadas por este fraude tienen que hacer frente al pago de una elevada (en la mayoría de las ocasiones) cuantía en concepto de multa.

¿Qué es y en qué consiste la técnica “SIM swapping”? 

El “SIM swapping” es una técnica utilizada por ciberdelincuentes que consiste en hacer un duplicado de la tarjeta SIM de un teléfono móvil. Una vez realizada dicho duplicado, se puede suplantar la identidad del propietario de la tarjeta SIM y tener acceso a toda la información guardada en el teléfono móvil. En numerosas ocasiones, el objetivo del ciberdelincuente a través de la técnica “SIM swapping” es acceder al teléfono móvil para interceptar los datos que dan acceso a aplicaciones como WhatsApp, Instagram o, en la mayoría de las ocasiones, la aplicación del bancaria del titular del teléfono, con la idea de cambiar las contraseñar y sustraer dinero de la cuenta corriente.

¿Cómo afecta esta técnica a las empresas telefónicas y porqué entra en juego la AEPD?

Como decíamos, los estafadores se hacen pasar por los titulares legítimos de la línea y solicitan en las tiendas de las operadoras un duplicado de la tarjeta SIM. A tal efecto, aportan una denuncia de robo o pérdida de cartera junto una fotocopia del DNI del titular de la línea (cambiando una foto por la otra). Una vez obtienen el duplicado de la SIM (facilitando una dirección distinta en la que consta en el DNI) proceden a ejecutar todo tipo de actuaciones delictivas.

Ante tal situación, la AEPD ha considerado que las operadoras no disponen de las medidas técnicas y organizativas adecuadas para proteger a los titulares de las líneas móviles, ni de protocolos de actuación efectivos que impidan a los delincuentes hacerse con duplicados de la tarjeta SIM de sus clientes a través de la técnica explicada.

En particular, la AEPD entiende que las empresas telefónicas cometen una infracción de lo dispuesto en los artículos 5.1(f) y 5.2 del Reglamento General de Protección de Datos, relativos al principio de integridad y confidencialidad y la responsabilidad proactiva por, como decíamos, facilitar duplicados de las tarjetas SIM a terceros que no son los auténticos titulares de las líneas móviles, tras superar dichos terceros las políticas de seguridad que, en teoría, tienen implementadas las citadas compañías. En concreto, lo que motiva la infracción del artículo 5.1(f) del Reglamento General de Protección de Datos es que la comisión de estos delitos evidencia que las compañías telefónicas no han aplicado medidas técnicas y organizativas suficientes ya que, de lo contrario, en la mayoría de las ocasiones, se podrían evitar este tipo de prácticas.

Como adelantábamos al inicio, las multas impuestas por la AEPD a las empresas telefónicas por sucumbir a esta práctica son numerosas. En los últimos meses, entidades como Vodafone se han visto requeridas al pago de una multa de 3,94 millones aunque no ha sido la única, otras entidades como Telefónica (900.000 euros), Orange (770.000 euros) y MásMóvil (200.000 euros) también se han visto sujetas al pago de elevadas cuantías por sucumbir a la técnica “SIM swapping”.

21 de abril de 2022