La ciberdelincuencia ligada al SIM swapping ya no es un problema que se limite a los bancos. Una reciente sentencia en España ha puesto el foco también en las operadoras de telefonía, a las que la justicia empieza a exigir un nivel de seguridad mucho más alto cuando sus procesos facilitan un fraude financiero.
En un entorno en el que las finanzas personales se gestionan casi por completo desde el móvil, la decisión del Juzgado de Primera Instancia número 44 de Madrid supone un aviso claro: si una portabilidad o un duplicado de SIM se tramita sin controles adecuados y eso permite vaciar cuentas bancarias, la compañía telefónica puede acabar pagando la factura junto al banco.
Qué ha pasado en el caso de Madrid: falsa portabilidad y robo de más de 4.000 euros
El caso analizado por el juzgado madrileño arranca con una falsa portabilidad de Movistar a Lowi (marca de Vodafone) que el titular de la línea nunca pidió. Un tercero consiguió que se emitiera un duplicado de la tarjeta SIM del afectado y se activara en una nueva línea a su nombre, sin que nadie comprobara de forma fiable su identidad.
Con la línea ya controlada por los delincuentes, estos pudieron recibir los SMS y códigos de verificación necesarios para operar en la banca online de WiZink. Cambiaron las credenciales de acceso, solicitaron claves nuevas y realizaron varias disposiciones mediante dos tarjetas de crédito vinculadas al cliente.
En total, se llegaron a cargar operaciones no autorizadas por un importe de 4.047,91 euros, canalizadas a través de tres movimientos distintos. El cliente se encontraba de viaje en el extranjero cuando todo ocurrió, por lo que ni siquiera tenía acceso a su línea original, que había quedado en manos de los estafadores.
El afectado detectó movimientos ajenos en otras cuentas y avisó tanto a la policía como a las entidades implicadas (recuperación de fondos). WiZink, en un primer momento, llegó a devolver los cargos, pero volvió a repercutirlos después alegando que se trataba de una estafa de terceros, desligando su propia responsabilidad.
Ante esta situación, la Asociación de Usuarios Financieros (Asufin) asumió la defensa del consumidor y demandó tanto a WiZink como a Vodafone-Lowi, argumentando que el fraude se había producido por fallos graves de seguridad en la portabilidad y en la autenticación de pagos. La magistrada terminó dándoles la razón en todos sus puntos.
Por qué la justicia señala a las operadoras: controles de identidad “realmente laxos”
Uno de los elementos más llamativos de la resolución es la contundencia con la que el juzgado critica los protocolos de Lowi. La sentencia considera probado que la compañía no exigía identificación efectiva al tramitar la portabilidad ni al enviar el duplicado de la SIM, más allá de facilitar una dirección postal a la que remitir la tarjeta, un problema ligado a fallos en la verificación de operadoras.
La jueza habla de requisitos “realmente laxos” en comparación con otras teleoperadoras y subraya que, en la práctica, cualquier persona podía recibir la nueva SIM en el domicilio indicado, sin acreditar ser el titular de la línea. Para el tribunal, esto supone una “enorme falta de seguridad” en un momento en que los móviles son la llave de acceso a la banca digital.
En la argumentación se recuerda, además, que Vodafone acumula un historial de sanciones por suplantaciones de identidad y duplicados fraudulentos. La Agencia Española de Protección de Datos (AEPD) ya impuso a la compañía una multa de cuatro millones de euros por permitir emisiones de SIM a nombre de terceros que terminaron en diversos fraudes bancarios.
En este nuevo caso, el juzgado entiende que existe un nexo causal directo entre la negligencia de la operadora y el éxito del fraude. Sin esa portabilidad tramitada sin garantías, razona la magistrada, no se habría podido tomar el control de la línea, interceptar los códigos SMS ni acceder a la banca online del cliente.
La sentencia recuerda también que, pese a conocer desde hace años la proliferación de SIM swapping, no se habían adoptado medidas suficientes para blindar el proceso de portabilidad y emisión de duplicados, lo que agrava la valoración de la conducta de la operadora.
Responsabilidad de WiZink: fallos en la autenticación reforzada de pagos
El banco tampoco sale bien parado. El juzgado considera que WiZink incumplió las obligaciones de autenticación reforzada, poniendo de relieve la importancia de la autenticación por selfies. La normativa de servicios de pago en la Unión Europea exige combinar varios elementos de seguridad independientes (conocimiento, posesión y biometría, por ejemplo).
En concreto, la resolución destaca que la entidad no detectó que el elemento de “posesión” había sido comprometido: el terminal que validaba las operaciones ya no estaba en manos del titular legítimo, sino del estafador que había duplicado la SIM. Pese a ello, el sistema permitió cambiar claves y ejecutar disposiciones sin activar alarmas efectivas.
La sentencia llama la atención, además, sobre la facilidad con la que se pudieron modificar las credenciales solo con datos como el DNI del afectado, algo que, combinado con la usurpación de la línea móvil, abrió un camino prácticamente libre para los ciberdelincuentes.
A ojos del tribunal, WiZink no acreditó que las operaciones se hubieran ejecutado con un nivel de seguridad adecuado ni aportó la documentación técnica que se le requería sobre sistemas de autenticación, dispositivos utilizados o trazas internas de los accesos. Esta ausencia de pruebas juega en su contra.
La jueza establece que tanto la portabilidad insegura como la falta de controles robustos en los pagos son concausa del daño, y que por ello no procede repartir porcentajes de culpa. Las dos entidades deben responder en bloque por el perjuicio sufrido por el cliente.
Condena solidaria: bancos y telecos, en el mismo barco frente al SIM swapping
El fallo del Juzgado de Primera Instancia 44 de Madrid no se limita a devolver el dinero estafado. Declara que WiZink y Vodafone-Lowi son solidariamente responsables del fraude, de modo que cualquiera de las dos puede ser obligada a pagar la totalidad de la cantidad, más intereses legales y costas, y luego reclamar internamente a la otra si lo estima oportuno.
La resolución insiste en que “sin portabilidad no hubiera habido acceso a WiZink y sin el incumplimiento de WiZink no se habrían producido las disposiciones”. Es decir, ambas actuaciones negligentes resultan indispensables para que la estafa se materializara.
Para Asufin, este elemento es clave porque rompe con la idea de que solo la banca debe asumir los “marrones” judiciales en materia de fraudes digitales. La asociación lleva tiempo defendiendo que, en un sistema financiero 100 % digitalizado, todos los intermediarios tecnológicos que participan en la cadena de pagos deben compartir la responsabilidad cuando su actuación abre la puerta al delito.
La sentencia también pone en valor la conducta del afectado: el juzgado entiende que el cliente actuó con diligencia, no fue imprudente con sus datos y comunicó el fraude en cuanto tuvo indicios, lo que descarta cualquier intento de imputarle parte de la culpa.
Aunque el fallo es recurrible en apelación en el plazo de veinte días, su alcance simbólico es evidente: marca un precedente relevante en la lucha contra el SIM swapping en España y lanza un mensaje claro a bancos y operadoras de telecomunicaciones sobre la obligación de reforzar sus sistemas.
Un problema en expansión: sanciones a Digi, Orange y O2 por fallos similares
El caso de WiZink y Vodafone-Lowi no es un hecho aislado. En paralelo a esta sentencia, la AEPD ha ido tejiendo un historial de sanciones contra varias telecos por deficiencias graves en sus procesos de verificación de identidad y en la gestión de falsas portabilidades.
Entre las resoluciones más recientes destaca una multa de 200.000 euros a Digi por un caso de SIM swapping en el que un tercero logró un duplicado de SIM sin que la compañía comprobara correctamente quién era el solicitante. El esquema fue muy parecido: con la línea a su nombre, el delincuente pudo acceder a la banca online de la víctima y operar en su lugar.
A esta sanción se le suma otra de 150.000 euros a la misma operadora por una infracción grave del Reglamento General de Protección de Datos. En ese expediente, se dio de alta un contrato fraudulento y, posteriormente, se incluyó indebidamente a la persona afectada en ficheros de morosidad por una deuda que nunca había contraído.
Orange también ha estado bajo el foco. La Audiencia Nacional confirmó que la compañía vulneró la normativa de protección de datos al emitir duplicados de SIM sin verificar de forma adecuada la identidad del solicitante en incidentes ocurridos entre 2019 y 2020. Aunque la AEPD impuso inicialmente una sanción de 700.000 euros, la justicia la redujo a 300.000 atendiendo a la rápida reacción de la empresa, que retiró quioscos de autoservicio y endureció sus protocolos de activación.
Por su parte, O2 registró en 2023 el primer caso de eSIM swapping detectado por la AEPD. En este incidente, los atacantes cambiaron el correo electrónico de contacto del cliente y solicitaron un duplicado virtual de la línea. Al tratarse de una eSIM, la activación se hizo de forma remota, sin necesidad de tarjeta física, aprovechando la escasa robustez de los procedimientos de validación para tomar el control total del número y, con él, de los servicios asociados.
Respuesta institucional: del Foro de Buenas Prácticas a la brigada antifraude
La sucesión de fraudes y sanciones ha terminado de colocar el SIM swapping en la agenda política y regulatoria. Asufin, que ha llevado buena parte de estos casos ante los tribunales, forma parte del Foro de Buenas Prácticas Financieras creado por el Ministerio de Economía, Comercio y Empresa en 2022.
Desde esa plataforma, la asociación viene presionando para que el fraude financiero se considere uno de los problemas más urgentes para los consumidores y para coordinar medidas con el nuevo control de Hacienda. El objetivo es que bancos, telecos y autoridades coordinan medidas concretas, tanto preventivas como de compensación a las víctimas.
Tras la última sesión de este foro, celebrada el 10 de diciembre, el ministro de Economía, Carlos Cuerpo, anunció la puesta en marcha de una brigada antifraude especializada en delitos financieros digitales. Esta unidad contará con la participación directa del sector de las telecomunicaciones, asumiendo que el problema ya no puede abordarse solo desde la óptica bancaria.
La sentencia del juzgado madrileño encaja de lleno en esta estrategia: refuerza la idea de que la seguridad de datos y comunicaciones es una obligación legal y no un elemento accesorio del servicio. Si los protocolos fallan, el coste económico del delito puede recaer de forma directa en las compañías.
Para los usuarios, estos pasos suponen un avance en la protección frente a unas estafas cada vez más sofisticadas. La expectativa es que, ante el riesgo de tener que asumir indemnizaciones y multas millonarias, nuevas técnicas contra el fraude y mejoras tecnológicas impulsen a bancos y telecos a elevar sus estándares de seguridad y reaccionar con más agilidad cuando se denuncian operaciones sospechosas.
Todo este movimiento judicial y regulatorio dibuja un escenario en el que el SIM swapping deja de ser un fraude “huérfano” de responsables claros para convertirse en un problema compartido por todo el ecosistema digital: desde la operadora que gestiona la línea hasta la entidad que autoriza los pagos, pasando por los supervisores públicos que marcan las reglas del juego; y, aunque aún queda camino por recorrer, las últimas resoluciones señalan que quien no blinde sus procesos tendrá cada vez menos margen para mirar hacia otro lado cuando un cliente ve vaciada su cuenta tras un simple duplicado de SIM.
