Canal de Telegram

14 jun 2023

Segu-Info » , , » Multa de AEPD a Orange por SIM Swapping

Multa de AEPD a Orange por SIM Swapping

14 jun 2023, 3:12:00 p.m.   Comenta primero!
  , ,  

La clonación de tarjeta o SIM Swapping es uno de los fraudes más peligrosos y aunque las teleoperadoras tienen mucho qué hacer para evitar que el mal llegue a mayores, a veces no hacen lo suficiente. Eso es lo ha sucedido precisamente con Orange, que ha aceptado el pago de una multa por la denuncia de uno de sus clientes a la Agencia Española de Protección de Datos. ¿El motivo? Una verificación insuficiente en un caso de SIM Swapping avanzado.

A los atacantes les resulta relativamente sencillo usurpar la identidad de la víctima para solicitar una copia de su tarjeta SIM, técnica conocida como SIM swapping. Las operadoras han reforzado sus controles para limitar en lo posible este fraude después de las numerosas sanciones impuestas por las autoridades de protección de datos, así que los criminales buscan alternativas para obtener acceso a las comunicaciones del usuario.

Para llevar a cabo esta estafa, los delincuentes solicitan un duplicado de la tarjeta SIM del usuario, desactivando la que este está usando en su teléfono. De pronto, el móvil pierde cobertura y tras varios reinicios y pruebas, no hay manera de volver a tener conexión.

Uno de los motivos por lo que las filtraciones de datos provocadas por ataques o simplemente por brechas de seguridad es que información confidencial de personas pasa a manos de ciberdelincuentes. A partir de ese punto, suplantar la identidad de alguien para solicitar un duplicado de tarjeta resulta más sencillo.

Si alguna vez te han robado el móvil o lo has extraviado y te ha tocado acercarte a una tienda de tu teleco para solicitar una copia de tu SIM, lo normal es que acudas con la denuncia (en caso de robo) y tengas que aportar datos personales para constatar que eres quien dices ser. No obstante, este procedimiento también puede realizarse por otras vías. El problema está en que a veces las empresas de telecomunicaciones no tienen una verificación de identidad lo suficientemente robusta, lo que puede salirles caro.

SIM swapping de segunda generación

La AEPD (Agencia Española de Protección de Datos) habla de SIM swapping de segunda generación en un expediente abierto a Orange por la denuncia de uno de sus clientes que se encontró con retiradas de dinero de sus cuentas bancarias que habían sido autorizadas tras activar un desvío de llamadas en su línea que él no había solicitado.

Para activar el desvío, el servicio de atención al cliente de Orange requiere superar un control de seguridad que consiste en pedir al que llama varios datos de su contrato. Según la Política de Seguridad, deben variar en cada llamada los datos que se piden, como dígitos del DNI, de las líneas telefónicas, importe de las facturas, número de contrato o dígitos de la cuenta bancaria.

"Ese desvío de llamadas no lo he autorizado yo"

Es precisamente lo que le ha pasado a Orange. Un cliente de la operadora les denunció tras descubrir extracciones de dinero de sus cuentas bancarias tras activar un desvío de llamadas de su línea que la víctima en cuestión no había solicitado.

Como pasa con el duplicado de tarjeta, para ejecutar ese desvío de llamadas es necesario que el servicio de atención al cliente de la compañía lleve a cabo un control de seguridad, básicamente pedirle algunos datos de su contrato (que no siempre han de ser los mismos): dígitos del DNI, importe de facturas, dígitos de la cuenta bancaria o de la propia línea telefónica, número de contrato...

Como detalla el expediente de la AEPD, quien llamó diciendo ser el titular de la línea proporcionó nombre y apellidos, DNI, fecha de nacimiento, dirección y código postal y, explicando que su SIM daba problemas para recibir SMS por desperfectos, solicitó el desvío de llamadas a un tercer número.

¿El problema? Que los SMS son una cosa y las llamadas otra. Es decir, que el desvío de llamadas sirve únicamente para desviar el tráfico de llamadas entrantes y no está asociado a las aplicaciones móviles de la numeración de origen, a sus datos o a sus mensajes de SMS. Si quieres recibir también los mensajes, tienes que activarlo de forma adicional.

Según explica la Agencia Española de Protección de Datos, Orange no llevó a cabo una verificación de identidad suficiente, por lo que la sanción asciende a 70.000 euros. Como Orange ha decidido pagar voluntariamente, esta cantidad se reduce hasta los 42.000 euros.

Fuente: Bandaancha | XatakaMovil

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!