El caso de estafa no es de ahora, sino que se ha publicado la resolución del procedimiento sancionador de manera reciente por parte de la AEPD (Agencia Española de Protección de Datos). En esta, la segunda marca de Telefónica -O2-, tiene que hacer frente a un caso de eSIM Swapping. Y es que este tipo de fraude ya no solo afecta a los clientes de móvil con una tarjeta física.
No es nada nuevo los diferentes problemas que tienen los operadores a día de hoy con el fraude a través del método SIM Swapping –técnica con la que se consigue un duplicado de una tarjeta para robarle la línea móvil a otra persona-. Y una vez que aplican este método, los ciberdelincuentes pueden pedir códigos para acceder a cuentas bancarias y realizar pedidos con la tarjeta de la víctima.
Ahora Telefónica, por su segunda marca, tiene que afrontar esta resolución después de que uno de sus clientes denunciase un duplicado en eSIM sin su consentimiento. Y todo porque no se realizó una correcta verificación del titular de la línea
¿Cómo se realizó la estafa?
Sucedió en enero de 2023, el cliente denunció los hechos al quedarse sin servicio telefónico a través de su tarjeta de O2. Contactó con el operador a través de su servicio de atención, pero sin solución. Por ello, tuvo que acudir a una tienda física de la operadora para recuperar su línea. En ese momento, le informaron que un tercero había vinculado un correo electrónico a su contrato, solicitando de esta forma un duplicado de la tarjeta en eSIM.
Esto se dio debido a la conversión de SIM a eSIM. El ciberdelincuente pudo dar los datos necesarios de la víctima: nombre, apellidos del titular, DNI y últimos 4 dígitos del número de la última factura. Una información sensible que habría obtenido a través de otras vías, como el método phishing o filtraciones publicadas en Internet. En cualquier caso, el estafador llamó al 1551 y el agente comprobó que todo estaba en orden, por lo que se autorizó la operación y se envió el código QR al ciberdelincuente para que instalase la tarjeta virtual.
Telefónica ya ha mejorado la validación
El operador español tiene que pagar una sanción de 200.000 € –como se resuelve en el expediente nº EXP202307361-: «IMPONER a TELEFÓNICA MÓVILES ESPAÑA, S.A. con NIF A78923125,
por una infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5 del RGPD, una multa de por un importe de 200.000 euros (doscientos mil euros)«.
Aunque, desde el conocimiento de esta posible sanción, Telefónica destaca que se ha reforzado la forma en la que se opera para solicitar un cambio de tarjeta física a virtual. Si un cliente llama desde una línea de teléfono diferente para la que está solicitando dicha gestión -o escribe desde otro email- que no se ha validado previamente, «se envía a la línea en cuestión un código OTP como doble factor de autenticación que será necesario facilitar al agente comercial como requisito indispensable para proceder con la gestión«. Incluso, el operador español lanzó en 2024 un sistema de identificación más avanzado -se pide una foto selfie y del documento identificativo-.
