Oleada de multas de Protección de Datos a las telecos por no proteger debidamente a sus usuarios frente al 'SIM swapping'

La Agencia Española de Protección de Datos (AEPD) ha elevado una oleada de sanciones contra las grandes operadoras de telecomunicaciones por no proteger debidamente los datos personales de sus usuarios, provocando que en muchos casos estos sufrieran un fraude conocido como el SIM swapping o el cambiazo de SIM.

El SIM swappingse produce cuando un ciberdelincuente se hace pasar por un usuario legítimo de la teleco para pedir un duplicado de su tarjeta SIM. Con este duplicado en su poder, los criminales pueden recibir en su terminal los SMS de activación necesarios para iniciar sesión en cuentas bancarias o para operar con tarjetas de crédito robadas a los mismos usuarios.

Estas sanciones, que ha recopilado La Información, van desde los 70.000 euros hasta los 3,94 millones. La AEPD resolvía a principios de este mes esta última multa a Vodafone. Orange se enfrenta a dos sanciones que suman 770.000 euros. Telefónica tendrá que pagar 900.000. Y Xfera, del grupo MásMóvil, otros 200.000 euros.

Alertan sobre el peligro de la estafa SIM-Swapping: así funciona el conocido como 'fraude de la SIM duplicada'

Las investigaciones de la AEPD se remontan a denuncias de los propios usuarios que se presentaron entre 2019 y 2020. El organismo de control entiende que las telecos han vulnerado el articulado del Reglamento General de Protección de Datos (RGPD) que exige que las compañías traten los datos personales de los usuarios garantizando una seguridad adecuada de los mismos.

Ahora las operadoras pueden interponer un recurso contencioso-administrativo. Tienen dos meses para comunicarlo. La Información recoge las alegaciones de compañías como Orange, que entiende que no toda la información se almacena en la tarjeta SIM y en consecuencia no es adecuado pensar que un criminal puede acceder a contactos y a las apps de sus víctimas con un duplicado de la SIM.

La AEPD, por su parte, se remite a las operaciones policiales que se han efectuado en España contra estos ciberdelitos. Los criminales informáticos con acceso a un duplicado de la SIM pueden llegar a solicitar préstamos a las entidades bancarias. En muchos casos solo necesitan dos horas para ejecutar todos sus planes.

En 2020, 12 personas fueron detenidas en España tras desmantelarse a nivel global una red que se dedicaba al SIM swapping, técnica mediante la cual consiguieron robar más de 3 millones de euros.

La práctica del duplicado de SIM también aparece en la Memoria de 2021 de la Fiscalía General del Estado debido a la frecuencia con la que se da el fenómeno. Las telecos se han visto obligadas a adoptar medidas de prevención y fortalecimiento a la hora de emitir tarjetas SIM para evitar que esto siga sucediendo.

Las compañías, por su parte, disfrutan de atenuantes en las resoluciones que ha publicado la AEPD. La Información señala la elevada colaboración que las telecos mantienen con la propia Agencia Española de Protección de Datos como el principal motivo de los mismos. Con todo, el organismo entiende que estos incumplimientos del RGPD se han dado como acreditados.