Plaza de Santa María, 2, Mérida       924 38 71 78
Widget Image
logo
mobile-logo
InicioNoticias del díaLa AEPD multa a Vodafone, Orange y Telefónica por el ‘SIM swapping’

La AEPD multa a Vodafone, Orange y Telefónica por el ‘SIM swapping’

0
0
663
Noticias del día

La AEPD multa a Vodafone, Orange y Telefónica por el ‘SIM swapping’

La Agencia Española de Protección de Datos (AEPD) ha impuesto multas a varias compañías de telefonía móvil por permitir el duplicado de tarjetas SIM de sus clientes no autorizado o sin verificar, lo que, a juicio de la Agencia, infringe el principio de confidencialidad de los datos de sus clientes.

El duplicado de estas tarjetas ha permitido una práctica fraudulenta conocida como el SIM swapping, que consiste en generar un duplicado de la tarjeta SIM sin el consentimiento del titular para acceder a información personal y confidencial y realizar robos de cuentas y transferencias de dinero.

Las sanciones son el resultado de una serie de denuncias realizadas por ciudadanos entre 2019 y 2020. Después de dos años de investigación, la AEPD ha incoado cinco expedientes sancionadores que afectan a Vodafone, que debe pagar una multa de 3,94 millones; Orange, con dos sanciones que suman 770.000 euros; Telefónica, que deberá abonar 900.000 euros y Xfera, que se enfrenta a una sanción de 200.000 euros. Las compañías sancionadas tienen ahora dos meses para comunicar la AEPD si tienen la intención de interponer recurso contencioso-administrativo.

Varias leyes infringidas

La AEPD estima que las compañías sancionadas han infringido lo dispuesto en el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Esta infracción está tipificada en el artículo 83.5.a de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El artículo señala que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada de éstos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

La AEPD señala que ya en noviembre de 2019, la entonces directora de la Agencia, Mar España (la dirección la ocupa ahora Belén Cardona), ante las noticias aparecidas en medios de comunicación relativas a la práctica del SIM Swapping, instaba a la Subdirección General de Inspección de Datos (SGID) a iniciar de oficio las actuaciones previas de investigación tendentes a analizar estas prácticas y las medidas de seguridad existentes para su prevención.

Asimismo, en los argumentos en los que se basan las sanciones menciona la Memoria 2021 de la Fiscalía General del Estado, que en el punto 8 hace referencia a las actuaciones fraudulentas online. En este documento, la Fiscalía destaca “el conocido vulgarmente como fraude SIM Swapping, que está siendo utilizado con alarmante frecuencia en los últimos años”. “Esta forma de defraudación ha generado en los últimos años múltiples investigaciones policiales y la incoación de procedimientos judiciales en distintos territorios como A Coruña y Valencia. Su efectividad y la facilidad con que los/as delincuentes logran sus ilícitos propósitos ha determinado la adopción por los operadores de telefonía de medidas específicas de prevención y fortalecimiento de las garantías para la emisión de estas tarjetas o de sus duplicados”, señala la Fiscalía.

Exigencia de rigurosidad

En este sentido, la AEPD señala que “la rigurosidad de la operadora a la hora de vigilar quién es el titular de la tarjeta SIM o persona por éste autorizada que peticiona el duplicado, debería responder a unos requisitos estrictos. No se trata de que la información a la que se refiere no esté contenida en la tarjeta SIM, sino de que, si en el proceso de expedición de un duplicado de tarjeta SIM no se verifica adecuadamente la identidad del solicitante, la operadora estaría facilitando la suplantación de identidad”.

En las alegaciones presentadas por las compañías telefónicas en su defensa precisamente se hace referencia a la circunstancia aducida por la AEPD. Así, Telefónica sostiene que “la operativa de identificación de clientes contempla medidas técnicas y organizativas diseñadas para garantizar una seguridad adecuada de los datos personales de sus clientes, incluida la protección contra el tratamiento no autorizado o ilícito. Aduce que la norma no exige la infalibilidad de dichas medidas”.

Telefónica argumenta que la sanción de la que es objeto se basa en ambigüedades. En este sentido, invoca la Sentencia del Tribunal Supremo de 26 de junio de 2001 (RJ 2001, 5740), que recuerda la doctrina del Tribunal Constitucional. Alude a la importancia de que la norma reguladora no efectúe formulaciones vagas, abiertas o excesivamente amplias de los ilícitos y sanciones, que carezcan de la suficiente determinación, ya que “se permitiría al órgano sancionador actuar con un excesivo arbitrio y no con el prudente y razonable que permitiría una debida especificación normativa” (STC 61/1990, de 29 de marzo).

Culpa a los afectados

Por su parte, Orange argumenta que es un error considerar que, cuando los suplantadores consiguen un duplicado de la tarjeta SIM, pueden acceder automáticamente a los contactos o a todas las aplicaciones y servicios que tengan como procedimiento de recuperación de clave el envío de un SMS con un código para poder cambiar las contraseñas.

En los argumentos de Orange en su descargo viene a asegurar que, en los casos de SIM Swappingson los propios clientes los que tienen la culpa y los bancos, pero que Orange, y por extensión el resto de los suministradores de servicios de telefonía, no tienen ninguna responsabilidad.

En este sentido, la compañía argumenta que “cuando el suplantador se dirige a Orange para solicitar el duplicado cuenta ya con mucha información relativa al interesado, que es necesaria para la gestión de la solicitud. Por lo tanto, la obtención de esta información, de forma presumiblemente ilícita, es responsabilidad de terceros o del propio titular de los datos, existiendo en muchos casos un comportamiento imprudente de estos últimos en la custodia de su información personal». Asimismo, afirma que “la confidencialidad de los datos tratados en el proceso de la duplicación de la tarjeta SIM se quebró previamente por parte de las entidades bancarias«.

Una práctica extendida

El SIM Swapping es una práctica cada vez más extendida. Según una nota publicada en la página web de la Policía Nacional, los delincuentes captan toda la información personal a través de diferentes técnicas –phisingmalware o investigación en redes sociales­ y consiguen realizar un duplicado de la tarjeta SIM para colocarla en otro dispositivo. Una vez que obtienen acceso y control sobre el número de teléfono móvil, los estafadores pueden acceder a la información sensible, como contraseñas o banca online, y ordenar transferencias a otras cuentas bancarias de la organización o contratar préstamos de forma inmediata.

Facebooktwitter
Artículos Relacionados
Noticias del día

Europa amplía el plazo para reclamar los

Noticias del día

La OMS alerta del alto consumo de

Noticias del día

Sanidad cerca a los fumadores El tabaco se

Noticias del día

Confirmada la multa a Orange por ofrecer

Noticia anterior
Noticia siguiente
Sin comentarios

Lo sentimos, el formulario de comentarios está cerrado en este momento.

a

La Unión de Consumidores de Extremadura pretende la mejora de la calidad de vida de los ciudadanos como consumidores y usuarios, la representación y defensa de sus intereses (individuales y colectivos) y el desarrollo de su participación en la vida social..

Conéctate
FACEBOOK
TWITTER

Realizado con el patrocinio del Instituto de Consumo de Extremadura (INCOEX)