SIM swapping: una modalidad delictiva en auge – Dr. Diego H. Goldman*

La omnipresencia de los dispositivos móviles en nuestra cotidianeidad es un gran facilitador de tareas y trámites que en otros tiempos implicaban gran pérdida de tiempo y recursos, pero al mismo tiempo constituye una potencial puerta de entrada para la comisión de delitos que afectan el patrimonio de empresas e individuos. Del mismo modo en que desde un teléfono inteligente podemos efectuar transferencias bancarias, adquirir bienes y servicios, realizar inversiones y cualquier tipo de transacciones comerciales en pocos segundos y desde cualquier lugar del mundo, existen modalidades a través de las cuales los ciberdelincuentes pueden tomar el control de una línea telefónica y, así, acceder a cuentas de home banking, billeteras virtuales, comercio electrónico, etcétera, sin consentimiento de su titular.

Una de las modalidades más habituales del fraude relacionado con el uso de telefonía móvil es el denominado «SIM-Swapping», a través del cual los ciberdelincuentes obtienen un duplicado de la tarjeta SIM vincuada a la línea telefónica de la víctima, la cual utilizan para lograr el acceso a sus cuentas en distintas aplicaciones y suplantar su identidad digital para cometer distintos delitos, que pueden ir desde transferir el dinero que tenga depositado en cuentas bancarias o billeteras virtuales, realizar compras a su nombre o intentar estafar a sus contactos en sistemas de mensajería y redes sociales. Recordemos que la tarjeta SIM (Subscriber Identity Module o módulo de identificación removible del usuario, en los términos de nuestra legislación) es un chip que almacena el número de teléfono del usuario, algunos datos personales y sus claves de acceso a un operador de telefonía móvil, permitiéndole cambiar de un teléfono a otro sin ninguna configuración adicional. Al obtener un duplicado de esa tarjeta, los ciberdelincuentes pueden acceder a la línea telefónica de la víctima e ingresar a todos los servicios de los que se pueda recuperar la contraseña de acceso mediante un código enviado por SMS. Si bien la víctima advertirá en algún momento la situación al perder el servicio de datos y la cobertura para llamadas desde su propio teléfono celular, los ciberdelincuentes usualmente contarán con tiempo suficiente para realizar diversos actos patrimonialmente lesivos.

Este tipo de maniobras resulta de comisión relativamente sencilla, puesto que la mayoría de las operadoras de telefonía celular permiten a sus clientes obtener un duplicado de su tarjeta SIM de forma remota, sin concurrir presencialmente a una oficina comercial, ya sea por vía telefónica o mediante los sistemas automatizados de autogestión, sin exigir que acrediten su identidad mediante la presentación del correspondiente Documento Nacional de Identidad u otra documentación fehaciente. Por lo general, basta con que el usuario que solicita un duplicado de su tarjeta SIM responda correctamente algunas preguntas de carácter personal, elaboradas a partir de información que las empresas de telefonía obtienen de bases de dato de acceso público. Es decir que cualquier persona que acceda a esos datos que, cabe reiterar, surgen de bases públicas como Veraz o Nosis, podría obtener un duplicado de la tarjeta SIM de un tercero.

Como se ve, este tipo de maniobras son posibles puesto que las empresas operadoras de telefonía móvil no instrumentan protocolos adecuados para verificar la identidad de sus clientes a través de medios fehacientes, tal como lo exige en general el artículo 2° de la Ley N° 25.891 y, en particular respecto de la rehabilitación de líneas en caso de robo o extravío de equipos, el artículo 4° de la referida ley, que prohíbe su reactivación sin autorización expresa del titular de la línea. Por otro lado, la consumación de delitos contra el patrimonio de las víctimas también suele verse facilitada por el incumplimiento de las obligaciones en materia de conocimiento del cliente, mitigación del fraude y detección de patrones sospechosos por parte de las entidades bancarias y financieras, que se encuentran establecidas en la Ley N° 21.526 y diversas circulares del BCRA (ver, al respecto, los textos ordenados de las normas sobre «Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras» y «Sistema Nacional de Pagos – Transferencias»). Veremos más adelante que estos incumplimientos generan responsabilidad civil tanto de los operadores de telefonía móvil como de las entidades financieras.

Desde la perspectiva penal, son varias las normas que reprimen las distintas etapas de las defraudaciones consumadas mediante al modalidad del SIM-Swapping.

Así, la duplicación de una tarjeta SIM con fines ilícitos se encuentra tipificada, como delito de peligro, en el artículo 10 de la Ley N° 25.891, que reprime con pena de prisión de un mes a seis años a quien «alterare, reemplazare, duplicare o de cualquier modo modificare un número de línea, o de serie electrónico, o de serie mecánico de un equipo terminal o de un Módulo de Identificación Removible del usuario o la tecnología que en el futuro la reemplace, en equipos terminales provistos con este dispositivo, de modo que pueda ocasionar perjuicio al titular o usuario del terminal celular o a terceros».

Por su parte, una vez que el ciberdelincuente, habiendo tomado el control de la línea telefónica de la víctima, realiza actos de disposición patrimonial en su perjuicio tales como la transferencia de fondos desde sus cuentas bancarias o la compra de bienes en sitios de comercio electrónico, o recurre a la suplantación de su identidad virtual con el propósito de estafar a terceros, nos encontraremos frente a las defraudaciones tipificadas en el artículo 172 del Código Penal o, más concretamente, en el artículo 173, incisos 15 y 16, de dicho cuerpo normativo. Recordemos que el primero de dichos incisos reprime con prisión de un mes a seis años a quien «defraudare mediante el uso de una tarjeta de compra, crédito o débito, cuando la misma hubiere sido falsificada, adulterada, hurtada, robada, perdida u obtenida del legítimo emisor mediante ardid o engaño, o mediante el uso no autorizado de sus datos, aunque lo hiciere por medio de una operación automática». Es precisamente la última parte del tipo penal, que reprime a quien defrauda mediante el uso no autorizado de los datos de tarjetas de crédito, débito o compra de la víctima, la que entendemos aplicable a la modalidad delictiva que nos ocupa, cuando el acceso no autorizado a dicha información, almacenada en distintas aplicaciones (plataformas de correo electrónico, billeteras virtuales, etc.), permite la realización de compras o la suscripción a distintos servicios.

En cuanto al tipo penal de estafa informática del inciso 16, reprime a quien «defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos». Esto es lo que acontece cuando, mediante la toma de control de la línea de telefonía celular de la víctima, el autor logra acceder a las plataformas electrónicas de entidades bancarias y financieras, para desde allí efectuar transferencias de fondos, contraer préstamos o realizar otras operaciones patrimonialmente lesivas, por medios exclusivamente informáticos y sin intervención de persona alguna. Si bien la utilización del verbo «alterar» en el tipo penal ha llevado a ciertas confusiones y dudas respecto del tipo de conductas reprimidas, entendemos que lo penalmente relevante es la utilización de los sistemas informáticos de modo ilícito y en contra de la voluntad de la víctima. Una interpretación distinta, como señalan Cherñavsky, Gris Muniagurría y Moreira, restringiría «…innecesariamente la aplicación de esta figura por cuanto aún sin estar en presencia de alteración alguna de un dato proceso, la estafa por medios informáticos es un delito generalizado y que perjudica gravemente al titular de las cuentas vulneradas a través de este tipo de manipulaciones» (Nora Cherñavsky, Pablo Gris Muniagorría y Diógenes Moreira; «A diez años de la ley de delitos informáticos. Balance y propuestas», en Marcelo Riquert (dir.) y Carlos Sueiro (coord.), Sistema penal e informática, Buenos Aires, Hammurabi, 2018, p. 148).

Finalmente, desde el punto de vista civil, es innegable que tanto las operadoras de telefonía móvil que omiten establecer protocolos eficaces para determinar la identidad de las personas que solicitan duplicados de tarjetas SIM, como los bancos, entidades financieras, operadores de tarjetas de crédito y plataformas de pagos que incumplen con las obligaciones relativas a la identificación de sus clientes, detección de patrones sospechosos y mitigación del fraude, resultan obligados a resarcir los daños causados a las víctimas. En este sentido, el artículo 1710 del Código Civil y Comercial de la Nación establece un deber general de prevención del daño, en virtud del cual toda persona tiene la obligación de evitar causar daños no justificados y, en lo que aquí resulta de mayor importancia, de «adoptar, de buena fe y conforme a las circunstancias, las medidas razonables para evitar que se produzca un daño, o disminuir su magnitud» (inc. b) y «no agravar el daño, si ya se produjo» (inc. c), deberes cuyo incumplimiento acarrea la obligación de reparar el daño en los términos del artículo 1716 del referido cuerpo normativo. Como hemos visto, las obligaciones de establecer mecanismos de prevención adecuados y adoptar herramientas y protocolos que permitan la mitigación del daño, lejos de ser de carácter genérico, se encuentran expresamente previstas en las normas que regulan la actividad de este tipo de empresas, tales como la Ley N° 25.891 de Servicios de Comunicaciones Móviles, la Ley N° 21.526 de Entidades Financieras y la profusa normativa reglamentaria emitida por los órganos de contralor como el Banco Central de la República Argentina que obliga no sólo a adoptar los medios necesarios para evitar el ingreso no autorizado a las cuentas de los clientes de entidades bancarias y financieras, sino también a diferir e incluso revertir transferencias en las que se detecten patrones sospechosos, indicativos de una posible actividad fraudulenta (ver, al respecto, el punto 5.2 del texto ordenado de normas sobre «Sistema Nacional de Pagos – Transferencias»).

A ello se suma, en el caso de encontrarnos ante una relación de consumo entre la víctima y los proveedores de telefonía móvil, servicios bancarios, financieros, etc., las obligaciones emanadas del artículo 40 de la Ley N° 40 de la Ley N° 24.240 que dispone que «[s]i el daño al consumidor resulta del vicio o riesgo de la cosa o de la prestación del servicio, responderán el productor, el fabricante, el importador, el distribuidor, el proveedor, el vendedor y quien haya puesto su marca en la cosa o servicio». En estos supuestos, además, cuando los incumplimientos de los deberes de seguridad por parte de los proveedores de servicios revistan gravedad, procederá la aplicación de daños punitivos a favor del consumidor en los términos del artículo 52 bis de la Ley N° 24.240.

En definitiva, más allá de las precauciones que los usuarios de telefonía móvil puedan adoptar para evitar que los ciberdelincuentes tomen control de sus líneas con fines fraudulentos e ingresen a los distintos servicios con los cuales operan (tales como la activación de la verificación en dos pasos o el uso de tokens de seguridad en distintos tipos de aplicaciones de mensajería, correo electrónico, home banking, servicios de pagos, etc.), nuestro ordenamiento jurídico prevé un entramado de normas destinado tanto a la represión de los delitos cometidos a través de ese tipo de maniobras, como a asegurar la indemnización de los daños sufridos por los usuarios como consecuencia de la negligencia o el incumplimiento de sus obligaciones legales de prevención y mitigación del daño por parte de los prestadores de servicios de telefonía móvil, financieros, plataformas de comercio electrónico o tarjetas de crédito, entre otros, que los tribunales vienen aplicando cada vez con mayor frecuencia.

Dr. Diego H. Goldman*

Mayo 2.023