Palo a O2, que sufre su primer eSIM swapping: recibe una multa y anuncia nuevas medidas de seguridad
O2 ha sido engañada de una forma bastante lamentable por un ciberdelincuente, que se apropió del número de móvil de un cliente, así que le toca pagar una buena multa. Ha mejorado la seguridad.
La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución que obliga a Telefónica a pagar una multa de 200.000 euros por el primer caso de eSim swapping en su filial O2. DIGI tuvo que hacer lo mismo hace unas semanas.
El SIM swapping es un tipo de estafa en el que un ciberdelincuente consigue una copia de la tarjeta SIM de la víctima, es decir, su número de teléfono. Esto le permite interceptar los códigos de verificación que piden los bancos, la cuenta de Google, etc., para hacerse con esas cuentas.
Las tarjetas físicas SIM están siendo sustituidas, poco a poco, por las tarjetas virtuales eSIM, lo que facilita un poco la vida a los hackers, al no necesitar una tarjeta física para robar el número de móvil.
O2 y Telefónica refuerzan la seguridad
En la resolución de la AEPD, que puedes leer aquí, vía Banda Ancha, se explica que la estafa a un cliente de O2 fue un eSIM swapping, es decir, le robaron su número de móvil usando una tarjeta SIM virtual. Todo se debió a una negligencia de la operadora.
La estafa comenzó cuando el ciberdelincuente robó a la víctima sus datos básicos, seguramente mediante algún tipo de phishing o malware: nombre, dirección, acceso al correo, etc.
El estafador envió a O2 un correo pidiendo convertir la tarjeta física SIM de la víctima en una eSIM, que muchos móviles ya aceptan. En el email se incluía la información que pedía la operadora: nombre y apellidos del titular, DNI, y los cuatro últimos números de la última factura (esto indica que tenía acceso a su correo).
O2 le informó que, para obtener la eSIM, tenía que llamar al 1551. El agente comercial que atendió la llamada del ciberdelincuente comprobó que los datos del correo eran correctos y, sin ninguna comprobación más, convirtió la tarjeta SIM en una eSIM.
En ese momento, la víctima se quedó sin número de móvil, que paso a pertenecer al estafador. Tardó unas horas en darse cuenta y, tras una llamada a O2, bloquearon la eSIM en poder del ciberdelincuente.
La negligencia de O2 estuvo en que el estafador utilizó un correo propio que no estaba registrado en la base de datos de la filial de Telefónica, para enviar los datos de la víctima. En el momento en el que O2 detecta un correo que no tiene registrado el cliente, deberían haberse encendido las alarmas. Pero lo dio por bueno.
Tras pagar la multa de 200.000 euros, O2 ha establecido una capa extra de seguridad: ante una operación sensible, como un cambio de estado de la tarjeta SIM, ahora envía un código de confirmación al móvil del dueño de la línea, para verificar que es él. Lo incomprensible es que no lo hiciese desde el principio.
Si un día el número de móvil y el acceso a Internet de tu smartphone dejan de funcionar, puedes haber sufrido un eSIM swapping. Llama rápidamente a la operadora para preguntar qué ha ocurrido.