Estafa de las SIM de Vodafone: Sanción a la teleco por no comprobar duplicados de tarjetas

La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución sobre “deficiencias significativas en la actuación de la empresa de telecomunicaciones Vodafone en relación con la privacidad y la protección de datos de sus clientes”, como ha explicado la Organización de Consumidores y Usuarios (OCU). Concretamente, por llevar a cabo un duplicado de la tarjeta SIM de una socia de OCU sin consentimiento, lo que después fue utilizado para realizar transferencias fraudulentas por importe de 5.000 euros.

No es la primera multa a la que tiene que hacer frente la empresa por llevar a cabo estas prácticas. En febrero de 2022 fue sancionada con casi cuatro millones de euros. En diciembre de ese mismo año volvió a ser sancionada con una cuantía de 56.000 euros. Ahora, la compañía tendrá que afrontar una multa de 100.000 euros, que finalmente ha sido reducida un 20 por ciento por acogerse al pago voluntario, lo que supone 80.000 euros.

La resolución actual corresponde a una serie de prácticas que Vodafone ha mantenido en los últimos meses. La investigación demuestra que la empresa no llevó a cabo un procedimiento riguroso que permitiera comprobar la identidad del solicitante a la hora del duplicado de tarjetas SIM. Sus propias políticas de seguridad, en cambio, exigen que si no hay cambios de dirección o que si el solicitante llama desde otro número se debe solicitar distinta información para contrastar la identidad.

Vodafone deberá pagar una multa de 80.000 euros / Foto: Instagram Vodafone España

Sin embargo, Vodafone no pudo demostrar haber seguido medida alguna para comprobar la identidad, como indica la OCU. Permitiendo así, en el caso denunciado, que el duplicado se realizará pese a constar que la llamada solicitante del duplicado se realizó con una numeración de Noruega, e incluso con la utilización de un número oculto para su activación.

En la resolución de la AEPD también se detalla que Vodafone ha incumplido en numerosas ocasiones las disposiciones de la legislación de protección de datos, de modo que ha permitido numerosos duplicados de tarjeta SIM fraudulentos, sin legitimación y sin garantizar que los datos personales tratados respectasen la normativa.

Esto también incluye “la recopilación y el procesamiento de datos sin el consentimiento adecuado de los usuarios, así como la falta de medidas de seguridad adecuadas para proteger los datos personales de sus clientes”, como explica la OCU. Esta problemática ha causado en múltiples ocasiones un fraude de identidad. Es por ello que la empresa incumplió el artículo 6 del reglamento de protección de datos.

La OCU adopta una firme postura y solicita a los operadores de telecomunicaciones que “extremen la vigilancia e implementen sistemas de seguridad que realicen un contraste efectivo de la identidad de sus propios clientes”, reafirmando la necesidad de que estas empresas cumplan con las normativas de protección de datos y actúen con responsabilidad.

Un manejo incorrecto de la información personal de los clientes, especialmente cuando los teléfonos de los usuarios pueden ser utilizados posteriormente en estafas de phishing para obtener los códigos de seguridad en la doble autentificación, pueden provocar graves problemas de vulneración de los datos y estafa económica.

La estafa del "SIM swapping"

El SIM swapping comienza con el duplicado de una tarjeta SIM, de forma ilegal, para poder recibir el SMS con el código de confirmación que los bancos con frecuencia envían al móvil de sus usuarios cuando estos realizan alguna operación por Internet, tal como transferir dinero o solicitar un préstamo.

Para llevar a cabo este timo, como explica la OCU, el ciberdelincuente puede conseguir el duplicado de la tarjeta SIM presencialmente o por teléfono, según la operadora de telefonía móvil. Por ello es esencial que la compañía telefónica identifique al titular con preguntas personales, la presentación del DNI, etc. De este modo, deberá asegurarse de que la persona que está tramitando el duplicado de la SIM es quien dice ser. Esta medida de seguridad en algunos casos puede ser violada.

Una vez introducida la nueva SIM duplicada en un móvil, el delincuente irá probando en los principales bancos para llegar hasta el correcto. Después llamará al servicio de atención al cliente afirmando que ha olvidado la contraseña y se le enviará una nueva al número de teléfono asociado a la cuenta.

En este punto, el estafador ya tiene acceso completo a la cuenta para realizar las operaciones necesarias y robar el mayor dinero posible. Este mismo mecanismo, además, puede ser utilizado para hackear cuentas cuyo segundo procedimiento de recuperación sea a través de nuestro teléfono móvil. Este es el caso de aplicaciones como X (Twitter).

Una vez introducida la nueva tarjeta SIM, el delincuente tendrá acceso a las cuentas de la víctima

Si el usuario descubre que ha sido víctima del timo de duplicado de SIM, la OCU recomienda alertar a tu banco y reclamar que te devuelvan los cargos no autorizados, aportando la denuncia que habrás tramitado previamente. La normativa aplicable en este tipo de situaciones, garantiza que la entidad bancaria solamente podrá negarse si puede acreditar que ha habido una negligencia o que se ha actuado fraudulentamente de una manera deliberada.

Para evitar esta clase de delitos es fundamental no proporcionar nunca datos personales o bancarios a través de enlaces incluidos en correos electrónicos o SMS, configurar adecuadamente los ajustes de privacidad y seguridad de los perfiles en redes sociales, descargar las aplicaciones desde los mercados oficiales y no introducir información sensible, como contraseñas y datos bancarios, si el dispositivo está conectado a una red wifi pública.

La Organización de Consumidores y Usuarios critica, en el caso de Vodafone, que “la actual normativa de protección de datos permita que se impongan unas sanciones ejemplares, pero obvia que las resoluciones de la AEPD puedan reconocer cualquier reclamación de indemnización directa en beneficio del usuario cuyos datos han sido vulnerados”, quien deberá acudir a la vía judicial para intentar que se le indemnice por el incumplimiento y los daños ocasionados.