La digitalización, el avance tecnológico y el paso de los años en general han ido configurando un escenario en el que nuestro teléfono móvil es la identificación última para que multitud de servicios confirmen que somos quienes decimos ser. El DNI electrónico lleva con nosotros desde 2006 y sigue sin ser nada parecido a algo sencillo y universal con lo que identificarnos digitalmente. Hasta tenemos el servicio CL@VE para identificarnos con nuestro smartphone. A falta de tarjeta, bueno es el móvil.
Este escenario, bastante cómodo y conveniente, tiene un lado perverso: dejarnos en manos del móvil hace que cualquiera que tome su control puede hacerse pasar por nosotros. Y no hace falta que sea físicamente, basta con tener una SIM asociada a nuestro número. Y ese es posiblemente el eslabón más débil de la cadena. Donde entra el SIM swapping.
Una SIM con nuestro número = vía libre en nuestro banco
El paso de los años también nos ha dejado casos de pesadilla en los que una persona cualquiera de pronto se quedaba sin cobertura, sin línea activa (la antesala del horror), para descubrir poco después que su cuenta bancaria se había quedado a cero.
El empleado de tienda de operadora, el eslabón más débil ante el SIM swapping
Todas estas historias tienen como epicentro del mal el momento en que alguien se hace pasar por nosotros, normalmente en una tienda física de la operadora en cuestión. Un empleado de la misma es quien debe cerciorarse de que el DNI presentado es auténtico y la persona que lo entrega coincide con la que aparece en la foto del documento, pero en la práctica, en algunas ocasiones, este control falla.
Una vez el usurpador de identidad tiene acceso a una SIM asociada a nuestro teléfono móvil, y ya conoce nuestro DNI, tiene vía libre para acceder a nuestra banca digital pidiendo el restablecimiento de la contraseña, vía SMS. El SMS como principio y como final.
La intersección entre la seguridad y nuestro teléfono móvil ha pasado por varias fases. El 11-M fue el detonante para empezar a exigir identificar vía DNI a cualquier persona que quisiera dar de alta un número de teléfono, luego la implantación masiva del móvil dio alas a los bancos para empezar a reemplazar las ya extintas tarjetas de coordenadas por los SMS de verificación. El auge del SIM swapping en los últimos años debería haber servido para empezar a requerir protocolos de seguridad mucho más fuertes a la hora de duplicar tarjetas SIM. Tratar este trámite como lo que es: una gestión que si no se hace de manera exhaustiva, cotejando el rostro del documento con la misma precisión que en un control fronterizo ruso, puede desembocar en usurpaciones de identidad que a su vez desemboquen en robos y otros actos delictivos graves.
En 2022, la AEPD (Agencia Española de Protección de Datos) multó a las cuatro grandes operadoras españolas por no haber protegido con la suficiente diligencia los datos personales de sus clientes y no haber aplicado los mecanismos necesarios para comprobar la identidad del titular que estaba solicitando una tarjeta SIM. Movistar tuvo que pagar 900.000 euros, Orange, 700.000; MásMóvil 200.000 y Vodafone 3.940.000.
En el caso de esta última, la operadora británico señaló como culpables a los delincuentes y a sus empleados por haber cometido fallos humanos, pero la AEPD entendió que la empresa actuó de forma negligente al tomar medidas correctoras únicamente cuando la investigación comenzó.
Las consecuencias fueron transferencias desde su cuenta bancaria o envíos de dinero mediante Bizum por cantidades de hasta 30.000 euros (hasta 500 en el caso de Bizum) y obtención de préstamos por hasta 43.000 euros a nombre de otra persona.
A raíz de aquello, varias operadoras decidieron tomar medidas de la mano del ente sancionador: la AEPD aprobó la creación de un 'Código de conducta de autocontrol para el tratamiento de datos en la actividad publicitaria' al que se han adherido Movistar, Tuenti, O2, Orange, Jazztel, Amena, Simyo, Vodafone, Lowi, Ono, Másmóvil, Yoigo, Lebara, Llamaya, Happy Móvil y Pepephone; todas ellas de forma voluntaria... pero vinculante. No obstante, este código de conducta, que entra en vigor el 28 de enero de 2023, está encaminado a que un cliente pueda ser atendido rápidamente por asuntos ocurridos durante el último año y hayan sido reclamados, pero sin que hayan llegado todavía a juicio.
Medidas post-sanciones
¿Qué han hecho las operadoras en materia de prevención del SIM swapping desde aquellas sanciones? Desde Másmóvil nos indican que han introducido grupos de gestión de los cambios de SIM especializados dependientes directamente del Departamento de Prevención del Fraude, que dan soporte en horario 24/7 y analizan dicho proceso y cualquier patrón del mismo que se salga del patrón establecido.
"Existen otra serie de medidas desde el punto de vista de IT, así como mejoras de procesos en cuanto al refuerzo de la seguridad, que debido a la necesidad de confidencialidad de las mismas para asegurar su efectividad, preferimos mantener a nivel interno y no darles publicidad", indica la propietaria de Yoigo o Pepephone. "Todo ello ha dado como resultado un exhaustivo control del proceso de cambio de SIM en todos nuestros canales y a minimizar al máximo cualquier práctica potencialmente fraudulenta relativa al SIM swapping, considerando óptimos los resultados obtenidos con las medidas implantadas".
Desde Orange, operadora que está en trámites de ser comprada por Másmóvil logrando erigirse así en la primera teleco nacional por número de líneas móviles como de fibra y ADSL, aunque no por facturación, explican que trabajan activamente en prevenir riesgos en cuanto a usurpación de identidad, y añaden una medida concreta, la solución "SIM Swap", "que permite conocer la fecha de actualización de la SIM, un dato relevante para determinar el posible riesgo de que sus clientes hayan sido víctimas de una usurpación", dicen desde la teleco francesa.
¿Qué dicen en Telefónica? "Movistar ha adoptado diversas medidas para prevenir el fraude por SIM swapping. Hemos dotado a nuestros sistemas y aplicaciones de controles de seguridad que prevendrán y/o detectarán malos usos derivados de prácticas fraudulentas de SIM Swapping. Además, estamos mejorando todos nuestros procesos y canales de atención para que las operaciones que nuestros clientes realicen a través de ellos cada vez sean más seguras". Desde Xataka también contactamos con Vodafone de cara a obtener sus declaraciones, sin haber obtenido respuesta.
En el MWC 2023, las operadoras presentaron un conjunto de APIs en forma de GSMA Open Gateway entre cuyos beneficios potenciales también estará la seguridad de cara al SIM swapping.
Mejores herramientas que los SMS o una doble verificación humana para pedir un duplicado
Los entornos bancarios, que suelen llevar la delantera en cuanto a seguridad, vieron cristalizar el último paquete de medidas en torno a la verificación de la identidad con PSD2, la directiva de servicios de pago de segunda generación que entró en vigor en 2019. No estaría mal algo similar en el sector de las telecomunicaciones: una estrategia que sirva para anular o al menos complicar mucho más el SIM swapping, uno de los grandes males de nuestros días, una lotería macabra que a quien le toca le cuesta como mínimo unos días malos, y quizás muchos euros perdidos por el camino, cuando no tener que hacer frente durante mucho tiempo a procesos judiciales para resolver préstamos no solicitados.
En este sentido, una práctica ajena a las telecos pero que facilita enormemente el SIM swapping es la de solicitar una foto del DNI para cualquier transacción online, incluyendo operaciones de compraventa de productos de segunda mano. En algunos casos, la intención última del vendedor no es vender el producto, sino conseguir el DNI de algún incauto, para lo que se puede ayudar incluso de poner un precio demasiado barato para el producto en cuestión. Algo que facilita su venta rápida y disuade al comprador de hacer demasiadas preguntas o ponerse pejiguero.
Tampoco estaría de más, volviendo a las telecos, apoyarse en un proceso más seguro que los SMS como método de autenticación de la identidad. Herramientas de autenticación en dos pasos, como Google Authenticator (Microsoft, Apple y muchos otros también tienen las suyas propias), pueden ser un gran punto de partida. Algo que no sea tan pasivo como recibir un SMS sin más.
Otra idea: crear la opción de añadir más de un titular a una línea. O un titular y un autorizado, como en las cuentas bancarias, y que sea necesario una doble validación para algo tan delicado como un duplicado de SIM. Al menos respondiendo telefónicamente y dando datos sobre la línea que confirmen que el autorizado también es quien dice ser.
Una práctica, por cierto, que también serviría para agilizar ciertos trámites, como un cambio de tarifa o una portabilidad, a personas que no se defienden bien en entornos así, como algunas personas mayores o gente impedida que no puede salir de casa. La doble verificación humana también podría ser por parte del operador, del personal responsable de hacerla en tienda, si bien esto podría complicarse en muchas tiendas de un solo empleado por turno o donde el socio se autoemplea en solitario. Será por ideas y posibilidades.
En definitiva, avances que hagan más segura nuestra línea móvil. Sobre todo ahora que llevamos años viendo los estragos que puede causar un duplicado de SIM que cae en las manos equivocadas.
Imagen: CC
Ver 25 comentarios
25 comentarios
Usuario desactivado
Algo tan sencillo como responsabilizar penal y civilmente a la tienda u operadora que fue negligente en la identificación de quien solicitó el duplicado.
Por no cotejar la identidad del solicitante, por ni siquiera leer los datos del DNI presentado, por no pedir al interfecto que se quitara las gafas de sol y la mascarilla para cerciorarse de que esa cara no correspondía a la de la foto, por no preguntarle la fecha de nacimiento, nombre de los padres, por no pedirle otro documento adicional, como el de conducir o cualquier tarjeta de crédito...
Es que hay mil maneras de comprobar la identidad, que al menos cubriría el 99% de las suplantaciones en la tienda del operador.
Nacho
En este tema tienen tanta culpa los operadores móviles como los bancos, los dos deberían esforzarse más en aumentar la seguridad en operaciones tan delicadas como las citadas.
platanitocohen
Digimobil hace un par de meses que obliga al cliente a llamar primero a atencion al cliente para autorizar el cambio de SIM.
Saludos
joancatala
Si alguien te sustrae la bolsa o la mochila, ya tiene tu smartphone y tu DNI.
Ergo, no sirve de mucho centrarse en que la solución principal está en la comprobación de identidad con el DNI en las tiendas, ya que "el ladrón" podría ser precisamente la persona que presente el DNI.
sjel22
El problema no está solo en el sistema, si no también en las personas y la (in)cultura de las mismas. Conozco gente que trabaja en atención al cliente de distintas operadoras y todos comentan que una de las principales quejas de los clientes es el tener que ir físicamente el titular a una tienda a hacer el duplicado de sim, tanto por problemas de horarios, como de desplazamientos o que el usuario de la sim que se ha de duplicar (p.ej. hijo estudiante) esté en una ciudad diferente a la del titular. Por más que se les explique que es por protección de datos para prevenir las suplantaciones de identidad comentan que les montan unos pollos de campeonato y llegan a poner reclamaciones por este motivo. Lógicamente esto no pasa con todos y hay gente que comprende y agradece la medida.
tibiaz99
Si vas a la tienda a pedir una baja te ponen mil pegas, pero mira, para darte un duplicado sin confirmar tu identidad poca cosa.
Usuario desactivado
Un lector de huellas digitales en la tienda de la compañía telefónica termina con el 99% de estos casos. Que la base de datos de huellas se filtre es una posibilidad, pero su explotación requiere delincuentes más sofisticados. No existen sistemas 100% seguros, pero con poco se puede lograr una mejora enorme en este caso.
lordest
Si vamos a un entorno 100% digital en el que el móvil es el centro de todo, al final debería ser la administración la que tomará las riendas y que las tarjetas sim no las duplicarán las compañías, si no las oficinas de expedición (igual que el dni)
Al final los trabajadores de las compañías telefónicas son personas no cualificadas para tener que estar detectando un dni real o no o tener que identificar si la persona física es la que es. Las formaciones que dan la grandes compañías suelen ser un pdf de 3 páginas y ya.
Ya se ha demostrado que la identificación en las tiendas de telefonía es algo que se hace mal, muy mal.
iraes
"pidiendo el restablecimiento de la contraseña, vía SMS. "
Eso debería estar específicamente prohibido hoy en día.
Saknalrak
El mensajero que te trae un paquete, te llama por el interfono y sin comprobar nada te envia el paquete por el ascensor.
El transportista que te pide un DNI, te lo inventas y ya tienes el paquete del vecino.
La persona de la tienda de telefonía que no te pide casi nada y da un duplicado de la SIM a alguien con intenciones maliciosas y/o delictivas.
LA persona que te cobra en la tienda o supermercado importes inferiores a 50€ y no comprueba nada...
En fin, que la confianza en las personas, y por ende, de la tecnología da asco.
Algun vecino mio se quedó con mi paquete.
Un conocido se quedó sin teléfono móvil de gama alta porque se lo entregaron a saber quien.
Y se de alguien que le birlaron 20.000 (veinte mil) eurazos de la cuenta con un duplicado de SIM.
Cuidado !
oversky
Se le podría sacar más partido al chip del dni pero eso requiere dinero y "molestar" al usuario que lo quiere todo para ya, mientras tanto, otro día que sale el sol en Españistán...