APT36, el grupo de hackers vinculado a Pakistán, ha mejorado ElizaRAT con técnicas avanzadas de evasión y nuevos payloads.
Las empresas de telecomunicaciones se enfrentan a sanciones millonarias que pueden evitar fácilmente
Cuando todos los filtros fallan y se llevan a cabo fraudes y suplantaciones, hasta la empresa más poderosa puede enfrentarse a cuantiosas pérdidas. Además de en la parte económica, las brechas de seguridad tienen un enorme impacto en la imagen de las organizaciones. Sin embargo, las graves consecuencias de unos débiles protocolos de verificación de la identidad pueden evitarse con la ayuda de desarrolladores de tecnología vanguardistas y expertos.
O
range terminó el 2022 encarando una multa de 70.000 euros impuesta por la Agencia Española de Protección de Datos (AEDP), como resultado de la reclamación de una consumidora que denunciaba el uso fraudulento de sus datos personales para dar de alta varias líneas telefónicas. La sentencia, que se conoció el 26 de diciembre, todavía puede ser objeto de recurso.
La mujer denunció en junio de 2021 que se había formalizado una contratación de servicios sin su conocimiento ni consentimiento y que además sus datos se habían incluido en listas de impagados con posterioridad. Tras constatar que se había producido una usurpación de identidad, presentó un escrito de demanda ante la Dirección General de la Policía y la AEDP. La AEDP defendió su veredicto amparándose en el artículo 6.1 de la RGPD (Reglamento General de Protección de Datos), que define las circunstancias únicas por las que un tratamiento de datos personales es lícito. Según las conclusiones de la agencia, quedó demostrado que Orange había hecho un uso fraudulento de la información relativa a esta usuaria, instalando equipos bajo su nombre y DNI, pero en otro domicilio, por lo que un tercero no autorizado tuvo que dar los permisos necesarios. La compañía de telecomunicaciones no realizó las comprobaciones pertinentes y, por si fuera poco, no aportó los audios que en teoría debía tener custodiados, relativos a la verificación de la identidad de la mujer durante el proceso de portabilidad.
No es la única sanción a la que se han tenido que enfrentar las grandes telcos en fechas recientes. Con el artículo 6.1 de la RGDP de nuevo en el centro del asunto, la AEPD multó a Vodafone con 100.000 euros por dar de alta una línea telefónica a nombre de una persona que no había autorizado el alta. El denunciante se dirigió en 2019 a una tienda Vodafone para adquirir una tarjeta prepago. Poco tiempo después, esta persona fue llamada a declarar en un juicio por una estafa a través de Wallapop en la que estaba involucrada la línea telefónica contratada. En su declaración aseguraba no haber dado permiso en ningún momento para abrir esa línea y que, por tanto, debían haberle suplantado la identidad. En febrero de 2022 la AEDP abrió una investigación, cuyas conclusiones se conocieron en noviembre. La agencia afirmaba en ellas que “la política de seguridad de Vodafone es claramente ineficaz e insuficiente”, culpaba a la compañía de no aportar prueba alguna en su defensa y de intentar tirar balones fuera culpando únicamente al tercero que obró malintencionadamente suplantando la identidad del denunciante. Se considera probado asimismo que el trabajador responsable del alta de la línea irregular no verificó con diligencia los datos personales de la persona que tenía delante. En este caso, también la compañía sancionada puede recurrir la sentencia a través de la justicia ordinaria.
Resulta sorprendente que ciertos fraudes sigan funcionando, pero, como podemos ver, las telcos se enfrentan en nuestros días a grandes multas y crisis de reputación a consecuencia de estas estafas. A principios de 2022, la AEDP publicó las resoluciones de varios procedimientos abiertos a raíz de una serie de denuncias de víctimas de SIM swapping. Esta forma de fraude consiste en duplicar la tarjeta SIM de un teléfono móvil tras recabar la información necesaria a través de métodos de ingeniería social (utilizando redes sociales, mensajes de texto con falsos enlaces, llamadas telefónicas engañosas, etc.) Una vez duplicada la tarjeta, los defraudadores pueden acceder a cuentas bancarias, solicitar préstamos o comprar productos. En ocasiones, solo necesitan un par de horas para completar todos los procesos. Cuando el usuario de da cuenta de que no tiene señal y denuncia el caso, suele ser demasiado tarde. El SIM swapping se da a nivel global y ha experimentado un crecimiento considerable en los últimos años. Por ejemplo, en Estados Unidos, se recibieron 320 denuncias en 3 años, entre 2018 y 2020, y en 2021 la cifra se elevó a 1611, con pérdidas para los afectados cercanas a los 70 millones de dólares. Las multas interpuestas por la AEDP a las que hacíamos referencia van de los 200000 euros que debe pagar Xfera, perteneciente a MásMovil, a los 3,94 millones de euros de Vodafone. Orange, con varias sanciones q ue suman 770.000 euros y Telefónica, con 990.000, completan esta batería de multas. La AEDP destaca la infracción de varios artículos de la RGDP y la LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales) en los que se señala que los proveedores de servicios deben tratar los datos personales “de manera que se garantice una seguridad adecuada de estos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)”. Las empresas acusadas trataron de defenderse restando importancia sus brechas en los protocolos de seguridad y responsabilizando a la falta de celo de los usuarios sobre sus datos o directamente a las entidades bancarias. Sus argumentos, al menos en primera instancia, no funcionaron.
Para prevenir este tipo de acciones fraudulentas, Trustcloud desarrolla servicios de video identificación en los que prima la transparencia, la facilidad de uso y la seguridad al más alto nivel. Trustcloud VideoID es el aliado perfecto para las compañías de telecomunicaciones las cuales, como hemos visto, tienen un amplio margen de mejora en cuanto a defensa de la privacidad y protección de datos.
Trustcloud VideoID ofrece una verificación de la identidad rigurosa, que aplica diversas capas de seguridad (biometría, análisis de documentos, pruebas de vida activas y pasivas, etc.) El equipo humano de la plataforma está formado en profundidad en identidad y fraude y, además, Trustcloud ofrece registro y custodia cualificada de todas las evidencias generadas en los procesos.
Las empresas que confían en Trustcloud VideoID cuentan con una solución que permite cubrirse en casos de fraude como los que hemos tratado en este artículo y que lamentablemente han afectado a algunas de las telcos más importantes a nivel global.