Las compañías de telecomunicación, como los bancos, tienen también responsabilidad en los delitos como el SIM swapping.
La Agencia Española de Protección de Datos (AEPD) impuso una multa de 3 940 000 euros a Vodafone por no adoptar medidas suficientes frente al llamado SIM swapping. Este es un mecanismo de duplicado de la tarjeta SIM de un usuario para fines criminales, como recibir los sms de los sistemas de seguridad de doble verificación de los bancos.
Muchos casos relativos a esta modalidad delictiva fueron presentados a lo largo de 2021 por la prensa. Y se evidenció una creciente preocupación en los ciudadanos por el aumento de este tipo de ciberdelincuencia. Siendo que una de las compañías con más usuarios afectados por el SIM swapping es, precisamente, Vodafone.
Los casos de SIM swapping que afectaron a los usuarios de Vodafone
Por ello, es que la resolución recaída en el Procedimiento Sancionador 1/2021 contra esta empresa parte de 9 reclamaciones que se interpusieron ante la AEPD. Una de ellas relata que un usuario fue notificado de que su móvil se quedó sin línea. Y para resolverlo, esta persona se comunicó con Vodafone y le dijeron que estaba todo bien, y que quizás se había estropeado la tarjeta SIM. Por tanto, le pidieron que acudiera a una tienda para realizar un duplicado. Sin embargo, esto resulta muy llamativo porque no se le indicó que la razón por la que no tenía línea es que se había realizado recientemente un duplicado de la SIM.
El usuario tardó un par de días en conseguir la nueva SIM, porque residía lejos de una tienda Vodafone. Entonces, al incluir la tarjeta en el móvil, recibió notificaciones del banco que le pedían confirmar operaciones. Tras contactar nuevamente con Vodafone, identificó que la empresa había entregado una copia de su SIM a un usuario que la había reclamado a 800 km de distancia. Esto le generó una gran indignación, pues había sido estafado por medio de la apropiación de su patrimonio mediante el engaño y por la solicitud también de préstamos a su nombre.
Acceso a datos personales
Sobre este caso, Vodafone se defiende diciendo que el SIM swapping requiere además del acceso a la línea móvil, los datos del usuario para poder acceder por ejemplo a su banca online. Es decir, sus contraseñas, su DNI, etcétera. Conviene señalar que, por tanto, se requiere un hackeo previo u otro mecanismo para obtener esos datos.
Otro caso es de una persona a la cual se le duplicaron sin su consentimiento hasta tres veces la SIM, lo cual prueba aportando denuncias ante la Policía. Y esto se convierte en una situación de flagrante negligencia por parte de Vodafone. Pero, una vez más, esgrime el mismo argumento sobre los datos personales del usuario. Un caso también muy sangrante es el de una persona aquejada de una grave enfermedad que sufrió la suplantación de identidad y tras el robo de su dinero, murió al poco tiempo.
La respuesta de Vodafone ante esto sigue siendo la misma: la causa de esto fue el acceso irregular a los datos de la persona. Sin embargo, esta información podría ser accesible a cualquiera que pudiera recoger una carta del buzón de correo del usuario en cuestión, por ejemplo. Además, en el procedimiento la compañía declara que no ha podido acreditar una serie de hechos, como quiénes son los que solicitan estas SIM, las copias de las facturas, etcétera.
Un sistema que no funciona
Llama la atención que no pueda justificar cómo se ha emitido un duplicado de tarjeta a una ciudad totalmente distinta de aquella en la que residen los abonados sin un control adicional. Es evidente que su sistema no impide la vulneración de los derechos de sus usuarios. Por ejemplo, el que aún se utilice como medida de seguridad la recepción de sms, aunque luego se hayan adoptado medidas adicionales, una vez iniciado este procedimiento. También que la vía de activación telefónica de la SIM no es nada garantista. Porque al no requerir una intervención presencial da lugar a que haya una multitud de fraudes.
De esta manera, se entiende que hay una falta de responsabilidad proactiva gravísima. Puesto que Vodafone, habiendo recibido todas estas reclamaciones, tarda muchísimo en adoptar medidas adicionales, si no las toma prácticamente hasta que se inicia el procedimiento sancionador. Aún cuando ya la prensa había informado de múltiples casos similares.
Conforme a este principio de responsabilidad proactiva, el responsable debe adoptar las medidas técnicas y organizativas necesarias para demostrar el cumplimiento de los requisitos del Reglamento. Concretamente, del artículo 5.1.f, que declara que el tratamiento de los datos debe garantizar una seguridad adecuada, incluyendo la protección contra el tratamiento ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Y el término “apropiadas” refiere también al paso del tiempo. Es decir, si conforme a la nueva tecnología resulta más fácil realizar un fraude, como en estos casos. Si, se desarrollan tecnologías que permiten replicar la cara de un sujeto, entonces los mecanismos de seguridad facial no son suficientes para garantizar que quien está ahí es el verdadero titular. Habría que adoptar medidas adicionales y abandonar ese sistema de identificación.
Errores humanos
Pero, para Vodafone, sus medidas de seguridad son suficientes y el daño se debe a errores humanos. Y es cierto, el factor humano es relevante. Pero hay que entender que este factor es uno de los riesgos básicos que cualquier responsable de tratamiento debe considerar cuando adopta medidas de seguridad. Por tanto, tiene que realizar acciones que sirvan efectivamente para mitigarlo. Y precisamente no haber adoptado medidas que garanticen los derechos de los ciudadanos y la seguridad de los datos frente al uso ilícito, sabiendo que existía este riesgo, es lo que justifica que se le haya impuesto una multa tan alta.
Al respecto, la AEPD destaca que tiene una finalidad no solamente de protección de los derechos con un fin totalmente disuasorio, sino que es proporcionada por la gravedad de los perjuicios que se han ocasionado a los ciudadanos. Por tanto, se espera que Vodafone adopte nuevas medidas y que también lo hagan el resto de compañías de telecomunicaciones a las que también se les impusieron sanciones por esta misma clase de fraude.