Las líneas contratadas con cualquier operador pueden migrarse fraudulentamente a compañías como Yoigo, MásMóvil y Pepephone con solo conocer el nombre y DNI de su titular.
FACUA-Consumidores en Acción ha denunciado al Grupo MásMóvil por un grave agujero de seguridad en su protocolo de portabilidades. Las líneas contratadas con cualquier operador pueden migrarse fraudulentamente a compañías como Yoigo, MásMóvil y Pepephone con solo conocer el nombre y DNI de su titular.
Las denuncias han sido presentadas ante la Agencia Española de Protección de Datos (AEPD), la Comisión Nacional de los Mercados y la Competencia (CNMC) y la Dirección General de Consumo del Ministerio de Consumo.
FACUA trasladó las irregularidades hace ya más de dos meses al grupo de telecomunicaciones, pero a fecha de hoy sigue sin subsanarlas. En su respuesta, indica a la asociación que lo hará «antes del 31 de diciembre».
El Grupo MásMóvil (Xfera Móviles SAU) es propietario de las marcas Yoigo, MásMóvil, Pepephone, LlamaYa, Lebara, HitsMobile, Lycamobile, Virgin Telco, Euskaltel, R, Telecable y Guuk.
No envía un código de verificación
FACUA ha comprobado que el Grupo MásMóvil vulnera la obligación legal de verificar que las solicitudes de portabilidad se realizan por los auténticos titulares de las líneas y no por terceros que simulan serlo. Así, no envía ningún código por SMS a la línea para la que se pide el cambio de operador a fin de que su titular lo facilite a sus teleoperadores o lo introduzca en las webs de sus compañías.
Pero además, técnicos de la asociación han verificado envíos de tarjetas SIM en los que los mensajeros no comprobaron que la persona a la que se la entregaron fuese la titular del DNI vinculado a la línea que se iba a portar. De hecho, no solo no solicitaron que se les mostrase el documento de forma física, sino que ni tan siquiera pidieron que se les indicase cuál era ese DNI.
Si un usuario de cualquier compañía sufre una suplantación, la portabilidad de su línea a una compañía del Grupo MásMóvil puede acabar realizándose en caso de que no repare en el SMS donde se comunica que esta ha sido solicitada o lo vea tarde, cuando haya finalizado el plazo en el que no existen impedimentos técnicos para anularla.
Pese a la gravedad de las irregularidades, que FACUA viene reclamando al Grupo MásMóvil que resuelva desde mediados de septiembre, la compañía ha decidido demorar el cambio en su protocolo hasta finales de diciembre.
Qué dice la ley
El Real Decreto 899/2009, de 22 de mayo, por el que se aprueba la carta de derechos del usuario de los servicios de comunicaciones electrónicas, establece en el punto 2 de su artículo 5 que «los operadores no podrán acceder a la línea de un usuario final sin su consentimiento expreso e inequívoco». Por su parte, el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, señala en el apartado primero de su artículo 62 que «en la contratación con consumidores y usuarios debe constar de forma inequívoca su voluntad de contratar o, en su caso, de poner fin al contrato».
Asimismo, las portabilidades se rigen por una especificación técnica de la CNMC, en cuyo apartado 4.2 se indica que para llevarlas a cabo, las compañías deben contar una «solicitud firmada por el abonado» o con «otra forma equivalente de acreditación del consentimiento del abonado». Generalmente, el protocolo de validación consiste en el envío de un SMS con un código a la línea que se solicita portar para que sea facilitado al comercial que está gestionando el cambio de compañía o se introduzca en su página web en caso de que el usuario la está pidiendo a través de ella.
El reglamento general de protección de datos establece en el apartado primero de su artículo 6.a que el tratamiento de datos solo será lícito si, entre otras cosas, «el interesado dio su consentimiento». En este sentido, FACUA señala en su denuncia que el Grupo MásMóvil no solo no cumple esta obligación en su protocolo de portabilidades sino tampoco la de aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo», que establece el artículo 32.1 del citado reglamento
