Cada vez son más los casos de ataques por suplantación de identidad a los que se enfrentan los usuarios. En anteriores entradas a este blog ya tuvimos ocasión de hablar acerca de la técnica del SIM Swapping y sus riesgos (cuyo contenido íntegro podéis consultar aquí.) Sin embargo, en esta ocasión, aunque íntimamente relacionados vamos a analizar uno de los últimos informes publicados por parte de nuestra autoridad de control dando respuesta a una consulta acerca de la adecuación al marco jurídico vigente respecto del acceso por parte de las Fuerzas y Cuerpos de Seguridad del Estado (FCS en adelante), a la información de la que disponen las Operadoras de Telecomunicaciones (las operadoras, en adelante) derivado de los servicios que prestan y de las posibilidades de que conforme a la ley puedan mejorar el sistema para la lucha contra este tipo de estafas .
Para empezar y como recordatorio SIM Swapping es el término coloquial a través del que se conoce este tipo de estafa que consiste, principalmente, en que un tercero ajeno al titular de la tarjeta SIM, solicita a la operadora correspondiente un duplicado de dicha tarjeta SIM (que supone la anulación de la anterior tarjeta SIM), para recibir en dicho duplicado los mensajes de texto SMS que la entidad bancaria envía a sus clientes como medida de seguridad para confirmar determinadas operaciones bancarias. Este tipo de estafa requiere que previamente el tercero haya conseguido hacerse con las credenciales de la víctima para acceder y autenticarse en el servicio de banca electrónica, de tal forma que una vez conseguidas las credenciales bancarias puede operar con total libertad.
En las investigaciones policiales de este tipo de estafas cobran especial importancia los datos referidos a la fecha y hora y forma de la activación del duplicado de una tarjeta SIM, es decir, qué tipo de canal se utilizó, si fue online o si fue presencial/físico y la ubicación desde la que se llevó a cabo, en caso de realizarse por un canal presencial. A lo que hay que añadir, cualquier documentación sobre la que se apoyó la solicitud del duplicado.
Sin embargo, en relación con el sistema de intercambio de información, toda esta se considera como “información no estructurada” y por tanto supone que el operador deba realizar la consulta “manual” afectando negativamente a la rapidez y efectividad de las investigaciones en las que son esenciales dichos datos.
Hoy en día, existe un grupo de trabajo creado entre los agentes facultados y las operadoras para dar cumplimiento a las solicitudes de información referidos a datos sujetos a mandamiento judicial (artículo 3 y 6 respectivamente de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones) entre cuyas cuestiones se aborda la operativa sobre la entrega de dicha información.
Pues bien, centrándonos en lo que el objeto de consulta del Informe que estamos analizando, la duda que se les plantea es si la información que se estima necesaria para este tipo de estafas está bajo el paraguas de dicha norma en el sentido de que dichos datos puedan ser considerados datos de tráfico vinculados a un proceso de comunicación concreto o si por el contrario son datos referidos a la titularidad del servicio, es decir datos del abonado y sometidos al artículo 588 ter m) de la Ley de Enjuiciamiento Criminal y al Reglamento Europeo de protección de datos (RGPD), pues dependiendo del régimen jurídico aplicable puede ser necesario autorización judicial para acceder a dicha información.
Para entender mejor lo expuesto en el apartado anterior necesitamos respuestas a algunas preguntas:
¿Qué información es fundamental y necesaria conocer por parte de las FCS para perseguir este tipo de delitos con celeridad y eficacia?
Según afirman la FCS y la Fiscalía en diversos informes y dictámenes que iremos citando más adelante, resulta necesario conoce la información vinculada con la activación de la nueva SIM, y más concretamente la vinculación entre un IMEI Y el IMSI.
IMEI (International Mobile Equipement Identity) es un código que identifica inequívocamente a un determinado dispositivo móvil (terminal físico). Este número se incorpora obligatoriamente por el fabricante al terminal y ha de ser inalterable desde su producción, por lo que ha de ser resistente a la manipulación que pueda llevarse a cabo por cualquier medio. Identifica por tanto al equipo físico respecto a cualquier otro aparato con independencia del abonado concreto que esté haciendo uso del terminal en cada momento.
El IMSI (International Mobile Suscriber Identity) es el código que identifica internacionalmente al abonado de una línea de comunicación móvil. Se trata de un código único que se integra en una tarjeta SIM la cual tiene como destino insertarse en un dispositivo móvil concreto (terminal físico). A partir del IMSI se asigna al usuario de esa tarjeta un número de abonado o MSISDN (Moblile Station Integrated Services Digital Network) que conocemos como número comercial. Por tanto, se trata del código que permite al abonado el acceso a los servicios contratados y al proveedor el control de la información necesaria para realizar la correspondiente facturación.
¿Qué consideración deben tener los códigos IMSI Y IMEI desde el punto de vista de la protección de datos?
La AEPD ha tenido ocasión de pronunciarse en distintas ocasiones, citamos a modo de ejemplo el informe 0043/2019 que nos recuerda que es posible hablar de la existencia de datos personales incluso en supuestos en los que no se cuenta con una identificación singularizada del interesado. Es por ello por lo que tanto el IMEI como el IMSI en la medida en que permiten singularizar a un individuo e identificarle, han de considerarse datos de carácter personal de acuerdo con el artículo 4.1 RGPD.
Por otro lado, el tratamiento de datos personales de los afectados consistente en la comunicación por parte de las operadoras a las FCS y al Ministerio Fiscal de información sobre las circunstancias de la solicitud de duplicado de la tarjeta SIM y su activación, en el marco de una investigación por la comisión de delitos, se encuentra amparado con carácter general, desde el lado de las operadoras en el artículo 6.1 c) del RGPD, y una vez que la información obre en poder de las FCS y/o del Ministerio Fiscal, se encuentra amparado en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, todo ello de conformidad con lo dispuesto en el artículo 588 ter m) de la LECrim. En este punto es importante que citemos el Dictamen 1/19 de la Unidad Criminalidad Informática de la Fiscalía General del Estado acerca del alcance de la reclamación de datos de identificación de titulares, terminales y/o dispositivos de conectividad prevista en el nuevo artículo 588 ter m de la Ley de Enjuiciamiento Criminal, que analiza qué información captan las operadoras con la conexión a la red de un dispositivo móvil.
Volviendo al principio ¿en qué supuestos la solicitud de dichos códigos NO están vinculados a un proceso de comunicación?
Tradicionalmente la doctrina jurisprudencial sobre el IMSI y el IMEI se centró en si para su captación o conocimiento, era necesario autorización judicial y por tanto si se enmarcaban en el proceso de comunicación. Las Sentencias del Tribunal Supremo nº 249/08, de 20 de mayo, 460/2011 de 25 de mayo, vinieron a admitir que no era necesaria la autorización judicial para captar o conocer el IMSI o el IMEI y que su tratamiento por parte de las FCS era conforme al artículo 22 de la hoy derogada LOPD. Ahora bien, también se sostenía que para solicitar a la operadora la identidad del titular del IMSI o del IMEI ya si era necesaria dicha autorización judicial por así indicarlo la propia Ley 25/2007, de 18 de octubre, que protege los “datos de tráfico”, es decir, vinculados a un proceso de comunicación concreto.
Como puede observarse resulta una condición necesaria para aplicar el precepto que los datos “se encuentren vinculados a un proceso de comunicación”. Lo que se interpreta que, sensu contrario, cuando no lo estén podrán obtenerse al amparo de otro presupuesto legal, como puede ser el previsto en el artículo 588 ter m) de tal forma que:
Artículo 588 ter m) Identificación de titulares o terminales o dispositivos de conectividad.-Cuando, en el ejercicio de sus funciones, el Ministerio Fiscal o la Policía Judicial necesiten conocer la titularidad de un número de teléfono o de cualquier otro medio de comunicación, o, en sentido inverso, precisen el número de teléfono o los datos identificativos de cualquier medio de comunicación, podrán dirigirse directamente a los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información, quienes estarán obligados a cumplir el requerimiento, bajo apercibimiento de incurrir en el delito de desobediencia.
En efecto, en el presente caso podría resultar no exigible la solicitud de autorización judicial, pues las peticiones que las FCS y/o la Fiscalía soliciten a las operadoras sobre la “vinculación entre el IMSI y el IMEI” y que requieren un proceso de identificación, no irían referidas a un concreto proceso de comunicación interpersonal, sino a lo sumo, se deduciría de un proceso de conexión entre el dispositivo (al que le corresponde el IMEI y que alberga un IMSI) y la red de telefonía en cuestión). Es decir, los datos solicitados serian aquellos derivados de la propia contratación y prestación del servicio y en particular por la “conexión” a la red del dispositivo en el que se utiliza una determinada tarjeta SIM (que es la que nos da el IMSI), es decir y aquí está la clave, se generan ex ante y con independencia de la existencia de comunicación.
En relación con todo lo expuesto anteriormente, el acceso por parte de las FCS y el Ministerio Fiscal a los datos referidos a la vinculación entre el IMEI del dispositivo dónde se usa la SIM duplicada y la propia SIM, no requerirá autorización judicial siempre y cuando la petición no esté vinculada a un proceso de comunicación concreto, en cuyo caso, se aplicaría la ya citada Ley 25/2007 de 18 de octubre. De tal forma, las operadoras de telecomunicaciones están obligadas a proporcionar dicha información no solo por lo indicado en el artículo 588 ter m) de la LECrim, sino también al amparo del deber de colaboración del artículo 7 de la ley Orgánica 7/2001, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. (puedes consultar más información sobre la misma en una entrada anterior de nuestro Blog aquí).
Para finalizar a modo de resumen, hay tres puntos a tener en cuenta en relación con el tratamiento de datos personales derivado de la persecución del SIM Swapping por parte de las FCS y el Ministerio Fiscal:
PRIMERO.-Los códigos de identificación IMEI e IMSI, cuyo objeto y finalidad es la identificación respectivamente del terminal físico y del usuario del servicio de comunicación, tienen la consideración de datos sobre abonados siempre que la solicitud/facilitación de los mismos se haga como dato independiente y aislado o desvinculado de cualquier otra información sobre los procesos comunicativos en que dichas numeraciones hayan podido ser utilizadas y no requerirá por tanto autorización judicial.
SEGUNDO. –La cesión de dichos códigos de identificación, por parte de los operadores de comunicaciones o proveedores de servicios, en las circunstancias antedichas, se encuentra sometida al régimen jurídico establecido por el artículo 588 ter m) de la Ley de Enjuiciamiento Criminal y por tanto podrán ser solicitados directamente por el Ministerio Fiscal o la Policía Judicial en el ejercicio de sus funciones de investigación criminal.
TERCERO. – La identificación de los usuarios de servicios de telecomunicaciones al margen de un proceso de comunicación concreto, no se estima una injerencia grave en la privacidad y tampoco deben estar limitadas únicamente a la persecución de delitos graves y que por tanto las medidas legislativas que regulen dicho acceso se presumen acordes con el principio de proporcionalidad. (véanse en este sentido la STJUE de fecha 2/03/2021 en el Asunto C-746/18; la STJUE de fecha 6/10/2020 en los Asuntos C-511/18, C512/18 y C-520/18; la STJUE de fecha 2/10/2018 en el Asunto C-207/16).
CUARTO.- No debemos olvidar que corresponde a las operadoras de telecomunicaciones y a las entidades bancarias cumplir lo dispuesto en el RGPD en tanto responsables del tratamiento de los datos de sus clientes, y en especial establecer medidas para que el tratamiento sea leal, confidencial y se impida el acceso no autorizado por terceros a información personal, de acuerdo con lo indicado en los artículos 5.1f), 24 y 32 del RGPD, y 28.2 de la LOPDGDD, sin perjuicio de lo que corresponda a las entidades bancarias como proveedores de servicios de pago derivado del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
Es decir, la estafa del SIM Swapping requiere la vulneración de al menos dos capas de seguridad, la de la propia identificación y la de la operación en si misma considerada. Por eso las entidades incluidas en el artículo 2 del citado Real Decreto Ley, deben establecer todas las medidas necesarias para que la identificación y la autenticación sea eficaces de modo que impidan o dificulten la comisión de este tipo de fraudes.