El timo del duplicado de la tarjeta SIM se perpetúa pese a las millonarias multas a las telecos
El timo del duplicado de la tarjeta SIM es uno de los más frustrantes para la víctima. La persona que lo sufre puede darse cuenta muy rápido de que algo raro está pasando: su móvil se queda sin cobertura y no puede hacer llamadas ni recibir mensajes de texto. Ni toquetear en los ajustes, recalibrar la conexión o apagar y encender el dispositivo lo solucionará. Pasará algún tiempo hasta que pase por una tienda física de su operadora o llame desde otra línea para preguntar qué ocurre. Un tiempo suficiente para que los ciberdelincuentes desvalijen su cuenta bancaria.
Lo que sucede en esos minutos es que alguien ha solicitado un duplicado de su tarjeta SIM y ha ordenado la desactivación de la antigua. Con la víctima ya incomunicada, ha contactado con su banco y ha solicitado el cambio de las credenciales de acceso a su cuenta. Como controla su número de teléfono, el SMS de seguridad del banco para confirmar la modificación lo recibe el atacante, no su legítimo propietario.
Una vez dentro de la cuenta, realiza el mayor número de transferencias, pagos al extranjero o solicitudes de crédito que le es posible hasta que llega la denuncia de la víctima o los sistemas del banco detectan que algo va mal.
El timo del duplicado de la tarjeta SIM (también conocido como SIM swapping) se ha multiplicado en los últimos años debido al aumento de las brechas de datos personales. Estos agujeros de seguridad permiten a los ciberdelincuentes acceder a la información de los ciudadanos que necesitan para lanzar el ataque: nombre completo, DNI, dirección, teléfono, email, cuenta bancaria, número de la tarjeta crédito. Una ficha con la que suplantan a sus víctimas y logran superar las verificaciones que solicitan las operadoras antes de hacer un duplicado.
Las denuncias por este tipo de timos no solo se acumulaban en las comisarías, sino también en la Agencia Española de Protección de Datos (AEPD). En 2019 este organismo decidió lanzar una investigación de oficio sobre cómo estaban protegiendo las operadoras a los ciudadanos de las estafas de duplicados de SIM. Tras dos años de análisis decidió imponer cuantiosas multas contra las cuatro principales telecos que operaban en el mercado español ante “la evidencia de un incumplimiento del deber de proteger la información de los clientes”.
Fueron 3,9 millones de euros a Vodafone, 900.000 a Telefónica, 700.000 a Orange y 200.000 a MásMóvil. “Las medidas de seguridad son claves”, insistía el organismo: “Este acceso no autorizado a los datos personales de los afectados resulta determinante para las actuaciones posteriores desarrolladas por las personas suplantadoras, ya que aprovechan el espacio de tiempo que trascurre hasta que el usuario detecta el fallo en la línea, se pone en contacto con la operadora, y ésta detecta el problema, para realizar operaciones bancarias fraudulentas”.
Año y medio después de la ronda de multas millonarias, las operadoras no han arreglado el problema. Este 2023 está marcado por una cascada de nuevas multas contra las telecos. Vodafone vuelve a ser la más sancionada y acumula ya seis resoluciones en su contra desde que fuera multada con 3,9 millones en 2021. De hecho, es la única operadora que ha tomado la determinación de no presentar alegaciones en los procesos de la AEPD y acogerse así a una reducción del 20% de la cuantía de las multas por pronto pago.
Las operadoras afirman que han instaurado medidas
elDiario.es ha preguntado a todas las operadoras afectadas por nuevas multas por qué no han actuado para poner medidas de protección que eviten el timo de la tarjeta SIM. Vodafone explica que “ha implementado medidas para mejorar los procesos y evitar estos casos”, pero que “la implementación de estas medidas en muchos casos no es inmediata, por lo que se pueden dar algunos casos de reclamaciones en ese tiempo”.
Según ha podido comprobar este medio, las tres últimas multas contra Vodafone provienen de denuncias presentadas varios meses después de la primera multa de la AEPD. En concreto, dos de ellas se interpusieron en marzo de 2022 y otra en mayo. “Al terminar los procedimientos sancionadores en periodo voluntario no estamos haciendo un reconocimiento de culpa y recordamos que no estamos de acuerdo con el criterio de la AEPD dado que el procedimiento principal de 3,9 millones de euros está recurrido ante la Audiencia Nacional y pendiente de sentencia”, señala la operadora.
Pues otra sanción por SIM swapping.
— Ángel Benito ✨ (@abenitorodero) January 17, 2023
Debe de ser tremeeeeeeeeendamente difícil que las telecos implanten procesos efectivos para verificar la identidad del solicitante de un duplicado de la SIM. Respuesta: NO
Hoy, en el "wall of shame"... ⬇️https://t.co/LkdKrBDDIn
Orange, la segunda más multada, se acuerda de los bancos. “Consideramos que las entidades bancarias deberían ser igual de diligentes para atajar este problema ya que, en último término, son las responsables de que nadie, salvo el legítimo titular, acceda a las cuentas bancarias”, achaca. También afirma que intenta mejorar de forma proactiva la protección de sus usuarios, ya que “la compañía también es parte perjudicada, tanto por el perjuicio que puedan sufrir indirectamente sus clientes, como por su potencial impacto económico y en términos de percepción de la marca”, exponen fuentes de la empresa.
Telefónica ha sido la última en recibir una multa a raíz de un duplicado de la tarjeta SIM. La resolución ha sido publicada esta semana y la empresa anuncia a este medio que la recurrirá. “La operadora aplica continuamente diversas medidas para prevenir el fraude por SIM Swapping, cumpliendo así los compromisos adquiridos con la AEPD para reforzar la seguridad en este tipo de operaciones”, dicen fuentes de Movistar.
MásMóvil ha sido la única de las involucradas en la primera ronda de sanciones que no ha vuelto a recibir multas por este motivo. Digi también ha recibido una multa (70.000 euros) en esta nueva oleada, pero la operadora rumana no estaba presente en España en el momento en el que la AEPD lanzó su primera investigación de oficio.
Cómo evitar los timos del duplicado
Los especialistas recuerdan que esta estafa tiene una primera señal de alarma muy clara. Si el teléfono se queda sin cobertura sin un motivo aparente y el problema no afecta a otros usuarios alrededor, la recomendación es contactar con la operadora y averiguar qué ha ocurrido. “En caso de que se confirme el duplicado de tarjeta, es necesario cambiar inmediatamente las credenciales de acceso a la banca digital y a otros servicios online utilizados con frecuencia y contactar con el banco para informar de lo ocurrido”, explican desde el BBVA.
El Instituto Nacional de Ciberseguridad (Incibe) sugieren establecer métodos de autentificación de doble factor que no requieran de un SMS, que los ciberdelincuentes pueden interceptar con un duplicado. “Implementa en tu dispositivo la autenticación en dos pasos, como medida adicional a la contraseña con la que podrás dificultar que alguien sin autorización acceda a tus cuentas. Puedes utilizar aplicaciones como Microsoft Authenticator, Google Authenticator como método alternativo de doble factor”, dice su guía para evitar el SIM swapping. En el caso de los bancos, el método alternativo al SMS puede ser a través de su propia app.
El resto de medidas que ponen encima de la mesa los especialistas tiene más que ver con la higiene digital para protegerse de una suplantación que con este timo en sí. Desde el Incibe piden, por ejemplo, no abrir enlaces “que se sean sospechosos ni archivos adjuntos recibidos por correo electrónico o SMS”; “no descargar aplicaciones de tiendas no oficiales (es decir, las que no sean Google Play o Apple Store)” o actualizar las contraseñas de forma periódica.
13