El timo del SIM swapping triunfa por su sencillez. Es un ataque en el que los ciberdelincuentes se hacen con el control de la cuenta bancaria de la víctima haciéndose pasar por ella ante la entidad. Lo hacen a través de un duplicado de la tarjeta SIM del objetivo, a través del cual suplantan su número de teléfono y pasan a recibir los mensajes del banco que sirven para autorizar los cambios de claves o las operaciones de transferencia de dinero.
En ocasiones, lo único que deben hacer los estafadores para conseguir ese duplicado de la tarjeta SIM es pedírselo a la teleoperadora de la que la víctima es cliente. La Agencia Española de Protección de Datos (AEPD) empezó a imponer multas millonarias a las telecos en 2021 por no proteger a sus clientes correctamente de esta práctica, pero tres años después los desfalcos y las sanciones continúan.
La última en ser multada el timo del SIM swapping ha sido Orange. La compañía, que acaba de completar su fusión con MásMóvil, ha sido sancionada con 200.000 euros por el regulador de la privacidad. “La sanción se impone debido a que Orange facilitó un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin su consentimiento y sin verificar la identidad de dicho tercero”, resume la AEPD en una resolución en la que desestima el recurso de la teleco.
“Pese a que Orange establezca medidas de seguridad y las someta a revisión y mejora continua, es imprescindible que los particulares, como titulares de sus datos personales, tengan cierta diligencia a la hora de custodiarlos, sin ponerlos a disposición de terceros o descuidarlos, permitiendo a terceros hacerse con su información personal, de modo que faciliten su suplantación”, protestaba la compañía francesa: “Orange no participa del proceso de identificación de un usuario ante su banco, sino que es éste quien determina el modo en que quiere llevar a cabo esta comprobación, por lo que no cabe trasladar la responsabilidad ante las operadoras de telefonía”.
La resolución contra Orange es la última de una larga serie de intervenciones por este tipo que en los últimos tiempos meses han tenido como protagonista a Digi. La teleco rumana ha sido sancionada un total de 12 veces desde el inicio de 2023. Todas ellas han tenido una cuantía de 70.000 euros, la multa tipo que la AEPD suele imponer en este tipo de procesos, salvo una, en la que la cifra alcanzó los 200.000 euros. En total, 970.000 euros en multas en poco más de un año.
En todas las resoluciones se repite el mismo patrón. “Su teléfono móvil se quedó sin cobertura, por lo que contactó con Digi y le informaron que el día anterior un tercero solicitó telefónicamente un duplicado de su tarjeta SIM. Así las cosas, el reclamante intenta acceder a la app de su banco y el sistema no reconoce la contraseña, por lo que contacta telefónicamente con su banco que le facilita una nueva y tras acceder por fin a su cuenta, comprueba que se han realizado diversas transferencias no autorizadas”, reza una de las resoluciones contra la teleco.
En sus alegaciones ante las multas de la AEPD, la operadora rumana ha adoptado posiciones similares a las de Orange. “Digi manifiesta que extrema sus esfuerzos por identificar y mitigar los intentos de fraude, y no puede imponérsele una responsabilidad absoluta en la detección del mismo; ante un tercero que dispone de los datos telefónicos, identificativos y de los datos bancarios del reclamante, que cumple el protocolo, identificándose de incluso de forma presencial”, protesta en la resolución en la que el regulador terminó imponiéndole 200.000 euros de multa.
“El resultado fue que la reclamada expidió la tarjeta SIM a un tercero que no era el titular de la línea. A la vista de lo anterior, Digi no logra acreditar que se haya seguido ese procedimiento”, le contestaba sucintamente la AEPD.
Epidemia de timos y de multas
Las ciberestafas ya son el segundo delito más denunciado en España tras el hurto, según las últimas estadísticas publicadas por el Ministerio del Interior. Durante 2022 se registraron en España 374.737 delitos relacionados con Internet, entre los que el “fraude informático” representó más del 90% (335.995), lo que supone un aumento del 26% respecto al año anterior.
El timo de la tarjeta SIM es uno de los más repetidos, a pesar de que acarrea multas millonarias a las telecos. Pese a acumular sanciones desde 2023, Digi no es la que ha alcanzado las multas más altas. Ese puesto le corresponde a Vodafone, que acumula unos 4,5 millones desde 2021. La siguiente en la lista es Orange, con aproximadamente 1,5 millones. Por detrás están Telefónica (0,9 millones) o MásMóvil (200.000 euros).
Con su reciente multa de 200.000, Orange es la única de las grandes telecos que ha seguido siendo multada en los últimos meses. No obstante, el regulador de la privacidad reconoce que la operadora francesa “ha actuado diligentemente a la hora de minimizar el impacto a los posibles afectados implantando nuevas medidas de seguridad para evitar la repetición de incidentes similares”.
elDiario.es ha contactado con Orange, que ha preferido no hacer declaraciones sobre la sanción o si planea recurrirla ante la Audiencia Nacional. Digi, por su parte, recalca que la AEPD también “ha recibido de forma positiva las medidas actualmente implantadas” para proteger a sus clientes. “Cada vez son más frecuentes los casos de delincuencia vinculada a servicios que utilizan la línea móvil como forma de autenticación por lo no es algo que solo afecte a Digi. Por ello, contamos con un equipo especializado para duplicados de SIM que aplican una política estricta de identificación de los titulares de cada línea”, exponen fuentes oficiales de la teleco.
Brechas de seguridad
El timo del duplicado de la tarjeta SIM se ha multiplicado en los últimos años debido al aumento de las brechas de datos personales. Estos agujeros de seguridad permiten a los ciberdelincuentes acceder a la información que necesitan para lanzar el ataque: nombre completo, DNI, dirección, teléfono, email, cuenta bancaria, número de la tarjeta crédito. Datos que les permiten sortear los controles de verificación establecidos por las compañías telefónicas y solicitar los duplicados.
Este ataque es muy lucrativo para los ciberdelincuentes. A finales de 2023 la Policía Nacional desarticuló una banda especializada en los duplicados de SIM que pudo sacar hasta 650.000 de más de 160 víctimas. Fueron detenidas 14 personas en Murcia y Alicante.
En octubre cayó otra organización que lanzaba tanto este timo como otros phishing más habituales. “El grupo criminal operaba a nivel nacional e internacional, llegándose a identificar víctimas en España, Marruecos y Lituania, ocasionando un perjuicio que supera los 300.000 euros”, informó entonces la Policía, que detuvo a tres personas.
El Instituto Nacional de Ciberseguridad (Incibe) ofrece una serie de recomendaciones para protegerse del peligroso fenómeno del SIM swapping, como mantenerse alerta ante la pérdida repentina de cobertura telefónica y notificarlo de inmediato a la operadora. También aconseja implementar la autenticación en dos pasos para todos los dispositivos mediante aplicaciones como Microsoft Authenticator o Google Authenticator, actualizar regularmente las opciones de recuperación de la cuenta, ser prudente con la información compartida en redes sociales y ajustar adecuadamente la configuración de privacidad, evitar abrir enlaces sospechosos o archivos adjuntos en correos electrónicos o mensajes de texto, tener precaución al proporcionar información personal por medios electrónicos o actualizar contraseñas de manera periódica y asegurarse de su robustez, evitar ingresar datos sensibles en dispositivos conectados a redes wifi públicas.
En caso de haber proporcionado datos bancarios u otra información relevante en canales que podrían estar operados por ciberestafadores, la recomendación es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la policía. El Incibe dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.