Claus per evitar el SIM Swapping i millorar lexperiència dusuari
Article original publicat a REDES&TELECOM el 25 Novembre 2022
Signat per Rocío Motilla
La tecnologia forma part de la nostra vida diària, facilitant en molts casos les interaccions i la nostra experiència com a usuaris a l’hora de fer tota mena de tràmits i gestions. No obstant això, també hi ha riscos derivats del seu ús. De fet, a principis de l’any en curs, l’Agència Espanyola de Protecció de Dades (AEPD) va multar amb 5,8 milions d’euros les principals teleoperadores per no posar prou mitjans per evitar l’anomenat SIM swapping. Però, què s’amaga darrere aquest terme i quins són els riscos derivats per als usuaris i les empreses?
El SIM swapping és un tipus de frau en què els estafadors es fan passar pels usuaris legítims d’una línia telefònica i sol·liciten un duplicat de la targeta SIM. Tot i que hi ha diferents maneres d’actuar, una de les més habituals és presentar a les botigues físiques de l’operadora una denúncia de robatori del DNI i una fotocòpia falsa d’aquest document on l’estafador ha canviat la foto del titular real per una de pròpia.
Un cop aconseguida la targeta SIM, els delinqüents poden dur a terme accions en nom del propietari i accedir a les dades confidencials. Un dels fraus més habituals derivats d’aquest tipus d’activitat és el frau bancari, ja que l’enviament de SMS al número de telèfon com a factor de doble autenticació és pràctica habitual en bona part de l’operativa diària de nombroses entitats financeres. De fet, recentment, un jutjat de Saragossa ha condemnat al setembre Telefònica a pagar 2.680 euros a un client al qual van duplicar de forma fraudulenta la targeta SIM i, com a conseqüència, va patir un frau als comptes bancaris.
I si les operadores no posen mesures, tot apunta que continuaran sorgint nous casos.
Evitar el risc del SIM Swapping i millorar lexperiència de lusuari
Més enllà de la polèmica sobre si la responsabilitat i la multa ha de recaure a les operadores, a les entitats financeres o en un altre tipus de companyies que s’hagin vist embolicades en una estafa, resulta important assenyalar que ja es troba disponible al mercat la tecnologia necessària per evitar aquest tipus d’atacs, que a més millora l’experiència de l’usuari final i compleix els estàndards determinats pel CCN (Centre Criptològic Nacional), garantint la seguretat en el tractament d’informació.
Aquesta tecnologia és la vídeo identificació qualificada, capaç d’identificar de manera inequívoca un usuari en menys de 90 segons i des de qualsevol telèfon mòbil o PC amb càmera. En el cas dels operadors de telefonia, aquesta vídeo identificació es podria fins i tot integrar com una funcionalitat més dins de l’aplicació mòbil amb què els usuaris tenen accés a les seves factures o als seus productes contractats, de manera que s’ofereixi al client una experiència d’ús més completa.
Per aconseguir aquesta identificació unívoca, la tecnologia de vídeo identificació guia l’usuari per verificar de manera senzilla l’autenticitat de la documentació, les dades personals, els trets biomètrics i, a més, fer una prova de vida. A més, en temps real es fa una consulta amb la base de dades de la Policia Nacional per comprovar la validesa del document. El procés d’identificació culmina amb l’emissió d’un certificat electrònic que permet signar el contracte de la nova targeta SIM i habilitar un canal de confiança entre l’usuari i l’operadora per a tots els futurs tràmits entre l’usuari i l’empresa (acceptació de termes, RGPD, contracte de nous serveis, etc.), amb els consegüents avantatges per a l’operadora.
Cal destacar també que es tracta d’una tecnologia que compleix els requisits del SEPBLAC i el reglament eIDAS.
Gràcies a l’ús d’aquesta nova tecnologia disponible i reconeguda per la legislació espanyola, tant l’empresa com el client en surten molt beneficiats. L’empresa evita el frau amb el benefici econòmic corresponent i la “intangible” mostra de control i seguretat cap a l’usuari final. El client es beneficia també d’un procés totalment remot, 100% segur, que verifica l’autenticitat de la documentació, les dades personals, els trets biomètrics i que realitza una prova de vida — a més d’evitar desplaçaments i temps d’espera innecessaris.
