Protección de datos ha multado con 5,81 millones de euros a varias operadoras de telefonía española por facilitar la duplicación fraudulenta de tarjetas SIM a delincuentes y, por lo tanto, por no proteger bien la información personal de sus clientes.
Este tipo de fraude se conoce como ‘SIM Swapping’ y consiste en obtener un duplicado de una tarjeta SIM asociada a una línea de teléfono, todo ello sin el consentimiento de su titular y con el fin de suplantar su identidad, además de acceder a información confidencial como redes sociales, servicios de mensajería instantánea, correos electrónicos o incluso aplicaciones bancarias.
Con un duplicado de tarjeta, además de obtener la citada información personal, los ciberdelincuentes pueden recibir los SMS con los códigos de confirmación que permiten realizar determinadas operaciones por Internet. Es decir, pueden tener acceso a compras online, transferencias o solicitudes de préstamos, e incluso aprovecharse de ello para estafar al verdadero titular de la línea.
La Asociación Española de Protección de Datos (AEPD) inició la investigación hace aproximadamente dos años tras recibir denuncias de varios particulares y el conocimiento de este tipo de prácticas que iban surgiendo en diferentes medios de comunicación. El objetivo era determinar la responsabilidad que tenían en el asunto los operadores.
Tras el procedimiento, varios operadores de telecomunicaciones han recibido expedientes sancionadores por un total de 5,81 millones de euros en multas, ya que la AEPD ha considerado que las políticas de seguridad que tienen estas compañías han sido insuficientes para evitar los duplicados fraudulentos.
“Las compañías han cometido una infracción muy grave” según la AEPD y según lo recogido en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y en lo que respecta a la gestión del tratamiento de los datos que les proporcionan sus clientes.
Por su parte, las operadoras consideran que también se ven perjudicadas por los estafadores, rechazando así estas acusaciones que, de tal forma, les repercute a su imagen pública y a su relación con los clientes.
"La sanción impuesta por la AEPD es claramente desproporcionada, atendiendo al número de supuestos en que este tipo de fraudes llegan a materializarse, por lo que se trata de incidentes excepcionales que no pueden poner en duda los altos estándares de seguridad con los que se tratan los datos personales de los clientes", han declarado en El Español.
Sanciones a las operadoras
Vodafone ha recibido la sanción administrativa más elevada con 3,94 millones de euros. En este caso, la AEPD también ha tenido en cuenta las nueve reclamaciones presentadas por los particulares.
En uno de estos casos, los delincuentes robaron más de 17.000 euros de la cuenta corriente de uno de los clientes de la compañía.
En su resolución, la AEPD considera que queda probado que la política de seguridad de Vodafone ha resultado insuficiente para la adecuada protección de los derechos fundamentales de las personas cuyas tarjetas SIM han sido fraudulentamente duplicadas y señala que los datos recabados muestran que esta política no falla solo en casos aislados como argumenta la operadora. De hecho, acusa a la compañía de tener una conducta "reactiva" y no "proactiva", tal y como exige el RGPD.
A Vodafone le sigue Telefónica con 900.000 euros, en su caso, además de la investigación general, por tres reclamaciones impuestas por los clientes. Uno de los afectados perdió 28,000 euros en sus cuentas.
En el caso de Orange, la agencia publica dos sanciones, una de 70.000 euros y otra de 700.000 euros. La agencia ha tenido en cuenta denuncias como la de una cliente de Simyo al que le habían solicitado un préstamo de 43.000 tras el duplicado o la de un usuario de Orange al que le realizaron once transferencias en dos días por importe de hasta 5.000 euros.
En lo que respecta a MásMóvil, se ha impuesto a la operadora una sanción de 200.000 euros tras tener en cuenta la investigación de oficio y dos reclamaciones de clientes que denuncian retiradas de dinero en cajeros o transferencias bancarias no autorizados.
Las operadoras se exculpan de responsabilidad
Las diferentes operadoras de telefonía inciden en que con el ‘SIM Swapping’, los ciberdelincuentes pueden acceder a las claves de confirmación para la realización de transferencias bancarias. Por ello, consideran que este diseño de seguridad es responsabilidad de las entidades bancarias, ya que las operadoras de telefonía no intervienen ni tienen relación alguna.
Además, añaden que la perpetración de este tipo de delitos requiere de la obtención previa, mediante engaño, de las claves bancarias de la víctima, es decir, a través de ‘phishing’, "por lo que responsabilizar a las operadoras por la comisión de estos delitos es improcedente".
Sin embargo, remarcan que, aunque la mejora del diseño de la seguridad de los procesos es responsabilidad de los bancos y entidades de crédito, continuarán "actualizando y reforzando sus protocolos de forma continua" para mejorarlos y optimizarlos con el objetivo de hacer frente a las cada día más complejas y diversas amenazas que los delincuentes desarrollan contra la seguridad de la información.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
![Lenovo -LEGION- Savior Y480 [$47.73] - FRESH IN](https://static.shareasale.com/image/18925/02528C6007A114FCA3181020DB029F8E.jpg)
No hay comentarios:
Publicar un comentario