El Tribunal Supremo de España, acaba de dictar una sentencia: 571/2025 que marca un antes y un después en cuanto a la protección que reciben los usuarios, si son víctimas de un ciberataque mediante SIM swapping, en este caso.
¿Qué es el SIM swapping?
- Se trata de un ciberataque mediante el que el atacante puede duplicar la tarjeta SIM del teléfono móvil de la víctima. Una vez duplicada la SIM, el ciberatacante puede acceder a la información confidencial que pueda estar almacenada en la SIM y tomar el control de la banca digital asociada a ese número de teléfono.
Fallo del Tribunal Supremo:
Utilizando el método comentado, el ciberatacante logró entrar en la cuenta bancaria de un cliente de un banco. El Tribunal Supremo determinó lo siguiente en relación a dicho ataque:
- Que el cliente actuó con diligencia, notificó, sin demora, a su entidad bancaria los hechos sobre las “actividades sospechosas” que había detectado. Constantemente y sin demora, el usuario informó al banco sobre la recepción de SMS sospechosos con códigos de transferencia no solicitados, los cargos no autorizados en su tarjeta y las alertas de seguridad recibidas. Incluso acudió a la oficina bancaria el día antes de las principales transferencias para solicitar la cancelación de su tarjeta
- Que el propio banco, no había implementado las medidas de seguridad necesarias para detectar y prevenir este tipo de actuaciones fraudulentas, por ejemplo, no contaba con sistemas lo suficientemente avanzados para detectar de forma automática la concurrencia de indicios de operaciones inusuales o anómalas, como quince transferencias de elevado importe realizadas de noche y en rápida sucesión, o a destinatarios inusuales. El Tribunal señala que las buenas prácticas bancarias exigen este tipo de mecanismos para generar alertas o bloqueos temporales
En definitiva, ha sido el propio banco quien está obligado a devolver el dinero sustraído al cliente, toda vez que, tras la investigación, se determinó que el cliente no tenía responsabilidad de lo sucedido ni por descuido, ni por negligencia personal.
Teniendo en cuenta esta resolución vemos, una vez más que:
- Es fundamental que la entidad bancaria implemente medidas técnicas y organizativas para garantizar la seguridad de la información que maneja.
- Los usuarios no están totalmente desprotegidos si han llevado a cabo las diligencias adecuadas para garantizar sus credenciales de acceso al banco.
Redactado por Julia Peñamedrano, a fecha 22 de mayo de 2025.