Las compañías sancionadas son Vodafone, Orange, Telefónica y Xfera; compañías que han sido objeto de investigación por parte de la Agencia Española de Protección de Datos (AEPD) durante más de dos años y que, como resultado, se enfrentan a millonarias sanciones que alcanzan, en el caso de Vodafone, los 3,94 millones de euros.
El motivo de las sanciones lo encuentra la autoridad española de protección de datos en la falta de implantación de medidas de seguridad adecuadas para proteger la información de los usuarios frente a un acceso y uso no autorizado de la misma.
La investigación iniciada por la AEPD sobre las mencionadas compañías tiene su inicio en varias denuncias interpuestas por usuarios al ser víctimas de ataques de ciberseguridad como consecuencia de este acceso no autorizado a sus datos: en concreto, fueron víctimas del ciberataque conocido como SIM swapping.
El SIM swapping, según explica la Policía Nacional en un comunicado de prensa, consiste en la solicitud por parte de un ciberdelincuente de un duplicado de una tarjeta SIM de teléfono de una persona cuyos datos ya han sido previamente obtenidos a partir de prácticas como el phishing, por ejemplo, datos bancarios o datos de la tarjeta de crédito. De esta forma, además de poder acceder a estos datos, tienen también acceso a los códigos de verificación de identidad y confirmación de operaciones que llegan a través de SMS en los procesos de compra o movimientos bancarios.