Muchos operadores tienen que ponerse las pilas en materia de ciberseguridad. La última prueba la aporta, con contundencia, la Agencia Española de Protección de Datos (AEPD), que ha impuesto al Grupo MásMóvil (propiedad de MásOrange, propietario a su vez de Yoigo, Pepephone o Euskaltel) una multa de 200.000 euros por un grave agujero de seguridad en su protocolo de portabilidades. Este fallo provocó que, hasta finales de 2022, los ciberdelincuentes pudieran llevar a cabo suplantaciones de identidad para el robo de líneas telefónicas.
Esta multa llega tras la denuncia de Facua-Consumidores en Acción, que alertó de que las líneas contratadas con cualquier operador podían migrarse fraudulentamente a sus compañías con solo conocer el nombre y el DNI de su titular.
Verificar las solicitudes de portabilidad
Facua tuvo conocimiento de esas irregularidades debido a que su secretario general, Rubén Sánchez, fue víctima de una portabilidad fraudulenta en septiembre de 2022. Posteriormente, la asociación comprobó que las compañías del Grupo MásMóvil vulneraban la obligación legal de verificar que las solicitudes de portabilidad se realizaban por los auténticos titulares de las líneas y no por terceros que simulaban serlo.
De hecho, no enviaban ningún código por SMS a la línea para la que se pedía el cambio de operador a fin de que su titular lo facilitase a sus teleoperadores o lo introdujese en las webs de sus compañías.
Sin corroborar los destinatarios
Además, técnicos de la asociación verificaron envíos de tarjetas SIM en los que los mensajeros no comprobaron que la persona a la que se la entregaron fuese la titular del DNI vinculado a la línea que se iba a portar.
Al respecto, cabe recordar que el Real Decreto 899/2009, de 22 de mayo, por el que se aprueba la carta de derechos del usuario de los servicios de comunicaciones electrónicas, establece en el punto 2 de su artículo 5 que “los operadores no podrán acceder a la línea de un usuario final sin su consentimiento expreso e inequívoco”. Además, la ley también indica que, cuando se habla de contrataciones, debe constar de forma inequívoca la voluntad de contratar del consumidor. Asimismo, las portabilidades se rigen por una especificación técnica de la Comisión Nacional de los Mercados y la Competencia (CNMC) que tampoco se cumplía.