Te clonan la SIM y roban tu dinero: ¿de quién es la culpa?

La Agencia Española de Protección de Datos (AEPD) ha impuesto multas millonarias a las principales operadoras de móviles por el conocido fraude del SIM Swapping. Básicamente, es un proceso por el que piden un duplicado de tu tarjeta SIM para suplantar tu identidad. La verdadera finalidad es conseguir los datos de acceso a nuestras cuentas bancarias, algo que teniendo el control del número de teléfono del usuario no suele ser complicado. Lo curioso es que se ha multado a las operadoras por no proteger bien los datos, pero no a los bancos. ¿Por qué?

En ADSLZone ya te hemos contado en alguna ocasión cómo proteger tu SIM del móvil de ataques hacker. En este caso, nos centramos en SIM Swapping, el fraude o timo por el que consiguen piratear o duplicar tu tarjeta SIM. Los hackers se hacen pasar por nosotros con diferentes tretas y consiguen un duplicado de la tarjeta en una tienda de la operadora. Los datos necesarios para hacerse pasar por nosotros los suelen conseguir con phishing, es decir, con falsas webs o aplicaciones que simulan ser legítimas y que nos piden introducir datos que luego son robados. A partir de este momento, con los datos en su poder, pueden usarlos para restablecer las contraseñas de acceso. El duplicado de la SIM les permitirá tener los códigos de verificación que utilizan las entidades financieras.

Multas entre 70.000 euros y 3,94 millones de euros

La Agencia Española de Protección de Datos (AEPD) ha impuesto multas de entre 70.000 euros y 3,94 millones de euros a las principales operadoras de nuestro país por incumplir varios artículos de la normativa de protección de datos. En total, 5,81 millones de euros por infracciones muy graves entre las que tenemos 3,94 millones de euros a Vodafone, 770.000 euros a Orange, 900.000 euros a Telefónica o 200.000 euros al Grupo MásMóvil.

aepd

A partir de la comunicación de la resolución, las operadoras tienen un plazo de dos meses para presentar alegaciones. De hecho, hemos podido saber que así lo harán ya que no consideran que sea justa la sanción por diferentes razones. Entre ellas, achacarles la inadecuada seguridad de las entidades bancarias que permiten estos robos de dinero de alguna forma.

¿Por qué no se ha multado a los bancos?

Entre las alegaciones que podemos leer en la resolución de la AEPD encontramos la siguiente:

“La responsabilidad de las teleoperadoras por supuestos de suplantación de identidad en la solicitud de copias de tarjetas SIM no puede abarcar las operaciones bancarias se puedan realizar como consecuencia de que las medidas de seguridad de las entidades bancarias sean inadecuadas. No puede hacerse cargo de la seguridad de la información de terceras entidades por el mero hecho de que usen servicios de telecomunicaciones”.

Las operadoras reconocen su parte de “culpa” en el asunto, pero apuntan a que no pueden ser las únicas perjudicadas. Estas entienden que deben repartirse las sanciones entre todos los actores que pudieron haber hecho más, de una forma u otra, para evitar este fraude. De hecho, se ha demostrado que la doble autenticación por SMS es una de las formas menos seguras si la comparamos con el uso de llaves de seguridad o aplicaciones de generación de códigos.

Más allá de esto, lo cierto es que las entidades bancarias deberían elevar sus medidas de seguridad de alguna forma para evitar que estos expolios de cuentas bancarias sean tan sencillos. Una doble autenticación con aplicación de seguridad, detecciones más precisas del uso de IPs diferentes para acceder, dispositivos de confianza… son muchas las formas que tienen a su disposición.

1 Comentario