La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución que impone a Telefónica una multa de 200.000 euros por un caso de eSIM swapping cometido por su filial O2. Esta sanción se suma a la que recibió DIGI hace algunas semanas. La técnica de eSIM swapping es un tipo de fraude cibernético en el que un delincuente cibernético obtiene una copia de la tarjeta SIM de la víctima, permitiéndole interceptar los códigos de verificación enviados por instituciones financieras, Google y otros proveedores de servicios. La transición gradual de las tarjetas SIM físicas a las tarjetas virtuales eSIM puede facilitar este tipo de ataques, ya que no requieren la posesión de una tarjeta física para acceder al número de teléfono de la víctima.
Según la resolución de la AEPD, el caso de eSIM swapping en O2 se debió a una negligencia de la operadora. El delincuente cibernético obtuvo inicialmente los datos básicos de la víctima, probablemente mediante phishing o malware, y luego envió un correo electrónico a O2 solicitando la conversión de la tarjeta SIM física en una eSIM. El correo electrónico contenía la información solicitada por la operadora, incluyendo el nombre, los apellidos, el DNI y los cuatro últimos dígitos de la última factura, lo que indica que el delincuente tenía acceso al correo electrónico de la víctima. O2 informó al delincuente que debía llamar al 1551 para obtener la eSIM. El agente comercial que atendió la llamada verificó que los datos del correo electrónico eran correctos y, sin realizar ninguna verificación adicional, convirtió la tarjeta SIM en una eSIM.
En este punto, la víctima perdió acceso a su número de teléfono, que fue tomado por el delincuente. Tras darse cuenta del fraude, la víctima contactó a O2 y bloqueó la eSIM en poder del delincuente. La negligencia de O2 radicó en que no detectó que el correo electrónico utilizado por el delincuente no estaba registrado en su base de datos. La operadora ha establecido una capa adicional de seguridad para prevenir futuras estafas de este tipo, enviando un código de confirmación al móvil del propietario de la línea antes de realizar operaciones sensibles, como cambios en el estado de la tarjeta SIM.
Es fundamental que los usuarios estén conscientes de este tipo de fraude y tomen medidas para proteger sus datos. Si experimenta una interrupción en el servicio de su número de teléfono o acceso a Internet en su smartphone, es importante contactar con su operadora lo antes posible para averiguar qué ha ocurrido.
