Multa de la AEPD a las operadoras de telefonía móvil por no proteger adecuadamente las SIM

La Agencia Española de Protección de Datos (AEPD) ha comunicado su primera gran sanción del año 2022 y ha correspondido de forma conjunta a varias operadoras de telefonía móvil. El motivo tiene que ver con la falta de una adecuada protección a las tarjetas SIM de los clientes, lo que permite que puedan duplicarse de forma sencilla.

El total de la sanción asciende a 5,81 millones de euros, y se reparte entre las principales operadoras de telefonía móvil de la siguiente manera:

• Vodafone: 3.940.000 euros.
• MoviStar: 900.000 euros.
• Orange: 700.000 euros.
• Másmovil: 200.000 euros.
• Simyo: 70.000 euros.

En el caso de Movistar, Orange y MasMóvil la AEPD ha rebajado la cuantía de las sanciones inicialmente previstas, que respectivamente eran de 2.000.000 de euros, 500.000 euros y 700.000 euros.

Las sanciones proceden de expedientes sancionadores abiertos en 2019 a instancias de usuarios particulares que dirigieron sus denuncias a la propia AEPD. Llama la atención la abultada cuantía de la sanción impuesta a Vodafone, pero el propio organismo refleja en su resolución que la causa es la reincidencia de esta operadora en las conductas que infringen la protección en materia de privacidad.

La brecha en la protección se produce cuando los estafadores se hacen pasar por los usuarios legítimos y solicitan en las tiendas de las operadoras un duplicado de la tarjeta SIM. Para ello aportan una denuncia de robo o pérdida de la cartera junto con una fotocopia del DNI del titular de la línea, cambiando la foto por una propia. Una vez obtienen el duplicado de la SIM facilitando una dirección distinta a la que consta en el DNI proceden a distintos tipos de actuaciones delictivas usando la línea de móvil de la víctima.

La AEPD entiende que las operadoras no disponen de las medidas adecuadas ni los protocolos de actuación que impidan estas y otras formas de hacerse con duplicados de la SIM de sus clientes.

SIM swapping: cambio de tendencia

Por otra parte es probable que no haya muchas más sanciones de este tipo puesto que como se ha explicado corresponden a sucesos acaecidos en 2019, y posteriormente comenzó a utilizarse el procedimiento conocido como SIM swapping, consistente en duplicar la tarjeta SIM del móvil para obtener las claves del banco del usuario objeto de la estafa, procediendo a hacer operaciones en su nombre. Esto fue consecuencia de la introducción de la directiva comunitaria sobre seguridad en los medios de pago, que obligó al doble factor de autenticación de las operaciones mediante envíos de SMS.

Esta circunstancia es la que obligó a esa otra modalidad de duplicación de tarjetas SIM para poder disponer de un terminal que recibiese dichos SMS de confirmación de la operación fraudulenta y que, en opinión de la AEPD, ha resultado contar con unas medidas insuficientes para impedirlo.