A una mujer de Puerto Madryn le duplicaron la línea del celular y así entraron al home banking. Sacaron un préstamo de $557.000 y transfirieron la plata.
Cuando accedió a sus cuentas del banco, una mujer de Puerto Madryn, en Chubut, se llevó una ingrata sorpresa: tenía una importante deuda por un préstamo que nunca había pedido y además, sus datos personales en el sistema bancario aparecían modificados. Más tarde supo que había sufrido un fraude digital conocido como SIM swapping: delincuentes habían duplicado la tarjeta de su teléfono celular, tomado el control de su línea y usado para validar operaciones en sus cuentas bancarias, suplantando su identidad.
En concreto, los estafadores activaron un préstamo preaprobado de $547.944 que el banco otorgó sin trabas y realizaron transferencias inmediatas que dejaron las cuentas de la clienta sin fondos.
Ahora, la Cámara de Apelaciones de Puerto Madryn, en Chubut, confirmó la condena contra el Banco Hipotecario S.A. y lo obligó a indemnizarla con un total de $20 millones, distribuidos en distintos conceptos.
Así, le dio la razón a la clienta, al igual que ya había sucedido en primera instancia. Y la sentencia quedó firme. Para la Justicia, al conceder el préstamo, el banco la desprotegió.
El tribunal señaló que la entidad incumplió una "obligación de resultado" en materia de seguridad y verificación de identidad, incumpliendo las disposiciones del Banco Central (BCRA).
Según el juez Julián Jalil, la Comunicación "A" 7319 del BCRA obliga a los bancos a confirmar de manera fehaciente la identidad de sus clientes antes de habilitar créditos preaprobados, especialmente cuando hubo cambios recientes en los datos de contacto del usuario. Esa fue la situación en este caso, y ese precepto no se cumplió.
El banco intentó derivar la responsabilidad hacia la víctima o hacia la empresa de telefonía. El tribunal rechazó ese argumento: sostuvo que el sistema de protección al consumidor es objetivo y que las entidades financieras, como profesionales del sistema, deben hacerse cargo de los riesgos que implican los servicios digitales que ofrecen.
Por daño punitivo, la condena incluyó una multa civil de $15 millones, al considerarse que el banco actuó con negligencia frente a los reclamos de la clienta y se limitó a decir que la operación no podía revertirse.
Además, los jueces validaron otros $5 millones que corresponden a daño extrapatrimonial, por la angustia e incertidumbre que atravesó la mujer al enfrentarse a una deuda originada en un fraude.
El juez Heraldo Fiordelisi, en su voto, afirmó que la entidad financiera "quebró las legítimas expectativas de la usuaria" al no actuar con el estándar de profesionalidad que exige la normativa vigente.
El SIM swapping —también llamado secuestro de SIM— es una modalidad de estafa que explota las debilidades en los sistemas de verificación de identidad de las compañías telefónicas.
Los delincuentes, primero, recopilan datos personales de la víctima —fecha de nacimiento, domicilio, información bancaria— a través de técnicas como el phishing, el doxing o la ingeniería social, que con distintos engaños consiguen que gente desprevenida comparta información sensible, y especialmente códigos temporales y de un solo uso, generalemente para poder acceder a distintos servicios digitales.
Con esa información, se comunican con el operador de la línea móvil de la víctima y se hacen pasar por el titular de la línea. Alegan que el teléfono fue robado o dañado y tramitan con el proveedor la transferencia del número a una nueva SIM, bajo su control.
A partir de ese momento, los atacantes reciben todos los mensajes de texto dirigidos a la víctima, incluidos los códigos de verificación de un solo uso que los bancos y billeteras virtuales -por ejemplo- usan para confirmar identidades.
Con eso, pueden restablecer contraseñas, acceder a cuentas bancarias, vaciar carteras de criptomonedas, tomar el control de cuentas de correo y hasta abrir -como en este caso- nuevas líneas de crédito a nombre de la persona afectada.
El riesgo central del SIM swapping es que neutraliza la autenticación de dos factores vía SMS, una de las medidas de seguridad más extendidas.
Los propios bancos —públicos y privados— advierten insistentemente a sus clientes que nunca van a pedirles claves ni códigos de acceso por ningún canal, ya que esa es, por lo general, la puerta de entrada que usan los estafadores para concretar el duplicado de SIM.