O2, el operador propiedad de Telefónica, va a tener que hacer frente a una sanción de hasta 200.000 euros por un ataque de eSIM swapping que afectó al operador hace unos años. Así lo ha confirmado la Agencia Española de Protección de Datos (AEPD), después de que un cliente denunciara a la compañía un duplicado fraudulento de su SIM a causa de la escasa seguridad por parte de O2.
El suceso ocurrió en 2023, cuando un cliente de O2 llamó para alertar de que se quedó sin servicio en su tarjeta SIM. Tras unas comprobaciones por parte del operador, se dieron cuenta de que el correo electrónico asociado al contrato de la tarifa, era diferente al que el cliente había puesto inicialmente. Y que, además, se había solicitado un duplicado de la SIM para convertirla eSIM. Esta permite activar la línea de forma virtual, sin una tarjeta física. Estaban ante el primer caso de eSIM swapping de O2.
El SIM swapping es una técnica en la cual los atacantes engañan a las operadoras para realizar una transferencia de una línea móvil a otra tarjeta SIM. Esto, a su vez, permite al atacante obtener información de carácter personal, como códigos de verificación, etc. En este caso, el ciberdelincuente transfirió los datos de la SIM de O2 a una eSIM.
Telefónica paga 200.000 euros por la metedura de pata de O2 y refuerza su seguridad
Dicho proceso de transferencia se llevó a cabo por el atacante. Con tan solo algunos datos personales del titular. Entre ellos, el nombre y apellidos del titular, DNI y últimos 4 dígitos del número de la última factura. Son datos que el ciberdelincuente podría haber obtenido a través de ataques de phishing o mediante una filtración. Y si bien el proceso fue rápido y sin levantar prácticamente sospechas, la AEPD concluye que O2 cometió una negligencia al no comprobar que el correo electrónico del atacante no coincidía con el del titular de la línea.
Como consecuencia, Telefónica, empresa matriz de O2, ha pagado 200.000 euros a modo de sanción “por una infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5 del RGPD”. El operador también ha aprovechado esta situación para crear una nueva capa de seguridad y, por ende, evitar así futuras estafas de eSIM swapping.
En concreto, y a partir de ahora, cuando un usuario quiera hacer un duplicado o pasar de una SIM a una eSIM, deberá facilitar al operador un código de verificación que se le enviará a través de mensaje al teléfono asociado a la línea. De este modo, el atacante no tendrá la forma de obtener dicho código.
En cualquier caso, existen una serie de recomendaciones para evitar el eSIM swapping. Por ejemplo, proteger información sensible, tales como las facturas. También evitar caer en estafas de phishing mediante correos electrónicos o mensajes que están mal escritos, tienen promociones demasiado suculentas o intentan alarmar con algún fallo de seguridad. Ante la duda, lo recomendable es ponerse en contacto con el operador a través de canales oficiales.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://hipertextual.com/2025/07/caos-en-o2-sufre-su-primer-ataque-de-esim-swapping
