La Agencia Española de Protección de Datos (AEPD) ha impuesto multas millonarias a las principales operadoras de móviles por el conocido fraude del SIM Swapping. Básicamente, es un proceso por el que piden un duplicado de tu tarjeta SIM para suplantar tu identidad. La verdadera finalidad es conseguir los datos de a nuestras cuentas bancarias, algo que teniendo el control del número de teléfono del no suele ser complicado. Lo curioso es que se ha multado a las operadoras por no proteger bien los datos, pero no a los bancos. ¿Por qué?
En ADSLZone ya te hemos contado en alguna ocasión cómo proteger tu SIM del móvil de ataques hacker. En este caso, nos centramos en SIM Swapping, el fraude o timo por el que consiguen piratear o
A partir de la comunicación de la resolución, las operadoras tienen un plazo de dos meses para presentar alegaciones. De hecho, hemos podido saber que así lo harán ya que no consideran que sea justa la sanción por diferentes razones. Entre ellas, achacarles la inadecuada seguridad de las entidades bancarias que permiten estos robos de dinero de alguna forma.
¿Por qué no se ha multado a los bancos?
Entre las alegaciones que podemos leer en la resolución de la AEPD encontramos la siguiente:
“La responsabilidad de las teleoperadoras por supuestos de suplantación de identidad en la solicitud de copias de tarjetas SIM no puede abarcar las operaciones bancarias se puedan realizar como consecuencia de que las medidas de seguridad de las entidades bancarias sean inadecuadas. No puede hacerse cargo de la seguridad de la información de terceras entidades por el mero hecho de que usen servicios de telecomunicaciones”.
Las operadoras reconocen su parte de “culpa” en el asunto, pero apuntan a que no pueden ser las únicas perjudicadas. Estas entienden que deben repartirse las sanciones entre todos los actores que pudieron haber hecho más, de una forma u otra, para evitar este fraude. De hecho, se ha demostrado que la doble autenticación por SMS es una de las formas menos seguras si la comparamos con el uso de llaves de seguridad o aplicaciones de generación de códigos.
Más allá de esto, lo cierto es que las entidades bancarias deberían elevar sus medidas de seguridad de alguna forma para evitar que estos expolios de cuentas bancarias sean tan sencillos. Una doble autenticación con aplicación de seguridad, detecciones más precisas del uso de IPs diferentes para acceder, dispositivos de confianza… son muchas las formas que tienen a su disposición.