- El Juzgado de Primera Instancia nº 44 de Madrid condena a Vodafone-Lowi y WiZink a devolver solidariamente unos 4.047 euros por un fraude de SIM swapping.
- Los estafadores lograron una falsa portabilidad de la línea móvil y accedieron a la banca online del afectado, cambiando credenciales y efectuando cargos no autorizados.
- La sentencia reprocha a Lowi sus controles "laxos" en portabilidades y duplicados SIM y a WiZink fallos en la autenticación reforzada de pagos.
- El caso refuerza la idea de que no solo la banca, sino también las telecos y otros intermediarios tecnológicos deben asumir responsabilidad en el fraude financiero digital.
El fraude conocido como SIM swapping ha dado un paso más en los tribunales españoles. Una resolución del Juzgado de Primera Instancia nº 44 de Madrid ha terminado señalando tanto a una entidad bancaria como a una operadora de telecomunicaciones como responsables económicos de una estafa cometida a través de una falsa portabilidad de la línea móvil de un consumidor.
En este caso, Vodafone (a través de su marca Lowi) y WiZink Bank han sido condenados a devolver de manera solidaria alrededor de 4.047 euros más intereses legales, cantidad que fue sustraída mediante operaciones no autorizadas realizadas tras el duplicado fraudulento de la tarjeta SIM del afectado. La sentencia, impulsada a partir de la acción de Asufin, está siendo vista como un precedente relevante en la lucha contra el fraude financiero digital.
Qué es el SIM swapping y cómo se produjo el fraude
El procedimiento utilizado por los delincuentes fue el ya conocido SIM swapping o “falsa portabilidad” de la tarjeta SIM. Este método consiste en conseguir ilícitamente un duplicado de la SIM asociada a la línea de teléfono de un usuario para hacerse pasar por él y tener el control de sus comunicaciones, especialmente de los mensajes necesarios para validar operaciones bancarias o cambios de contraseña.
En la causa analizada, un tercero logró portar sin permiso la línea del afectado desde Movistar a Lowi, filial de bajo coste de Vodafone. Una vez consumada la portabilidad, el cliente perdió de facto el control de su número: los estafadores pasaron a recibir en su propio dispositivo los SMS y códigos de verificación vinculados a esa línea.
Con la línea ya a su nombre de facto, los autores del fraude accedieron a la banca online de WiZink del perjudicado, modificaron credenciales de acceso y ejecutaron varias disposiciones de fondos. Se realizaron al menos tres operaciones con tarjetas de crédito de la entidad, por importes que rondaron los 1.048, 2.500 y unos 500 euros, hasta alcanzar la cifra total de 4.047,91 euros cargados de manera indebida.
El consumidor, que se encontraba incluso de viaje en el extranjero cuando comenzaron los movimientos irregulares, advirtió anomalías a través de otra entidad en la que detectó la creación de una cuenta nómina y traspasos sospechosos. Al contactar con su operador original, se enteró de que su línea se había portado días antes a Lowi sin su consentimiento, algo que él mismo no había solicitado en ningún momento.
La línea móvil estaba directamente vinculada a sus cuentas bancarias y a varios medios de pago, de modo que al perder su número perdió también la capacidad de ver los SMS de aviso y los códigos de seguridad que se enviaban para confirmar operaciones con sus tarjetas.
Actuación del afectado y reacción de las entidades
Tras constatar el problema, el cliente presentó denuncia ante la Policía y avisó inmediatamente tanto a Vodafone-Lowi como a WiZink, informando de la portabilidad no autorizada y de los cargos que él no había realizado. Según consta en la resolución, el juzgado considera que el consumidor actuó con diligencia y no fue negligente en la custodia de sus datos ni en la reacción frente al fraude.
En un primer momento, WiZink llegó a retroceder los cargos denunciados como fraudulentos. Sin embargo, posteriormente volvió a cargar las cantidades en las tarjetas del cliente, argumentando que se trataba de una estafa cometida por terceros y que, en esas circunstancias, no procedía mantener la devolución, dejando al afectado soportar el perjuicio económico.
Ante esta situación, Asufin, la Asociación de Usuarios Financieros, interpuso demanda en nombre del consumidor contra ambas compañías. Frente a WiZink reclamó responsabilidad por incumplimiento de las obligaciones legales de seguridad y autenticación en los servicios de pago; frente a Vodafone-Lowi alegó responsabilidad extracontractual por la falta de controles suficientes en la portabilidad y emisión de duplicados SIM.
En el procedimiento, Vodafone cuestionó la legitimación de Asufin, negó su propia responsabilidad y trató de desplazarla hacia los sistemas de seguridad del banco. Incluso solicitó la suspensión del proceso por la posible existencia de causa penal, invocando la prejudicialidad penal, sin éxito ante el juzgado madrileño.
Por su parte, WiZink ni siquiera contestó formalmente a la demanda y no facilitó al juzgado los detalles técnicos solicitados sobre la autenticación reforzada, los dispositivos utilizados, los registros de acceso ni el funcionamiento concreto de sus sistemas de seguridad. Esa falta de colaboración pesó en la valoración judicial sobre la actuación de la entidad.
Críticas del juzgado a los controles de Vodafone-Lowi
La sentencia dedica varios pasajes a analizar el papel de la operadora. Según el juez, Lowi mantenía unos requisitos “realmente laxos” para tramitar portabilidades y duplicados de SIM en comparación con otras telecos. El fallo subraya que para obtener una nueva tarjeta solo se exigía facilitar una dirección postal donde enviarla, permitiendo que la entregase y recogiese prácticamente cualquier persona sin un control efectivo de identidad.
El magistrado incide en que no exigir identificación al solicitar una portabilidad supone una grave deficiencia de seguridad, más aún en un contexto en el que las líneas móviles suelen estar asociadas a servicios financieros, banca online, medios de pago y todo tipo de servicios digitales sensibles.
Asimismo, el juzgado recuerda que Vodafone-Lowi ya había sido sancionada en repetidas ocasiones, tanto en vía administrativa como judicial, por permitir falsas portabilidades y duplicados SIM que derivaron en múltiples fraudes bancarios. Entre esos antecedentes se menciona la multa de 4 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) por la emisión irregular de duplicados de tarjetas SIM a nombre de suplantadores.
Ante la ausencia de explicaciones claras por parte de la operadora sobre cómo se tramitó exactamente la portabilidad del afectado, el juez aprecia negligencia de Vodafone-Lowi al amparo del artículo 1.902 del Código Civil, que regula la responsabilidad por daños causados por acción u omisión culposa. La falta de expediente detallado y de prueba documental sobre el procedimiento seguido lleva al juzgado a presumir un funcionamiento defectuoso del sistema.
De este modo, la resolución entiende que existe un nexo causal directo entre la política de seguridad de la teleco y la materialización del fraude. Sin esa portabilidad irregular y sin un control de identidad adecuado, los delincuentes no habrían logrado hacerse con la línea del perjudicado ni recibir los códigos necesarios para operar en su banca online.
Fallos de WiZink en autenticación reforzada y control de operaciones
La otra pieza clave del caso se centra en el comportamiento del banco. El Juzgado de Primera Instancia nº 44 considera que WiZink incumplió sus obligaciones en materia de autenticación reforzada de los servicios de pago, previstas en la normativa española y europea derivada de la directiva PSD2 y, en concreto, en el Real Decreto-ley 19/2018.
Según resalta la resolución, el sistema de seguridad de la entidad no detectó que uno de los elementos independientes de autenticación, el de posesión (el terminal de telefonía), había dejado de estar bajo control del titular. Esto permitió que los estafadores cambiaran credenciales, recibieran claves y ejecutaran cargos sin que el banco activara alertas suficientes o bloqueara las operaciones.
La jueza señala igualmente que WiZink facilitaba el cambio de credenciales prácticamente con el solo aporte del DNI, lo que, combinado con la usurpación de la línea telefónica, dejaba el sistema especialmente expuesto. De esta forma, una vez ya en poder de la línea, los defraudadores pudieron modificar contraseñas y realizar disposiciones con normalidad.
A juicio del tribunal, la entidad no acreditó que las operaciones controvertidas se hubieran autenticado de forma segura ni que su sistema estuviera libre de fallos. Tampoco probó que hubiera puesto en marcha todos los mecanismos previstos para minimizar el impacto de una situación de este tipo, ni que hubiera gestionado correctamente las primeras reclamaciones del usuario.
El fallo recuerda la doctrina del Tribunal Supremo en materia de operaciones de pago no autorizadas, según la cual la carga de probar que una transacción fue debidamente autenticada y no sufrió fallos recae en la entidad de pago. Al no cumplir con esa carga probatoria, WiZink queda considerada responsable por las disposiciones fraudulentas que se materializaron en las tarjetas del cliente.
Responsabilidad solidaria y sin reparto de culpas
Uno de los aspectos más llamativos de la resolución es que el juzgado rechaza dividir el porcentaje de responsabilidad entre Vodafone-Lowi y WiZink. La sentencia indica que sin la portabilidad irregular de la línea no habría habido acceso a la banca online, y sin los fallos de autenticación y control de la entidad financiera no se habrían podido ejecutar las disposiciones de dinero.
Por esa razón, el juez concluye que la negligencia de ambas compañías es concausa directa del daño sufrido por el demandante y que corresponde condenarlas a responder de forma solidaria de la totalidad de la cantidad reclamada. El importe fijado asciende a 4.047 euros (en torno a 4.048 euros según algunas fuentes), a los que se suman los intereses legales y las costas del procedimiento.
La condena solidaria implica que el consumidor puede exigir la totalidad de la suma a cualquiera de las dos entidades, y serán ellas quienes, en su caso, tengan que dirimir internamente cómo reparten el coste económico del fraude. Para el usuario, el mensaje es claro: no tiene por qué soportar la pérdida cuando ha sido víctima de un SIM swapping que pudo evitarse con mayores controles.
Además, el fallo destaca que tanto Vodafone-Lowi como WiZink eran plenamente conscientes del auge de este tipo de fraudes y, sin embargo, no habían implantado hasta ese momento medidas suficientes para frenarlos. El juzgado subraya que no basta con conocer el problema; las empresas deben adaptar sus protocolos y reforzar la seguridad en función de los riesgos existentes.
La sentencia no es firme todavía, ya que cabe interponer recurso de apelación en el plazo de 20 días desde su notificación. No obstante, el pronunciamiento es visto como una referencia para futuros litigios por fraudes similares, tanto por la cuantía como, sobre todo, por el alcance de la responsabilidad atribuida a los distintos actores implicados.
Un precedente para banca, telecos y otros intermediarios tecnológicos
Asufin ha puesto el foco en un elemento que considera especialmente relevante: el reconocimiento de que una operadora de telecomunicaciones deba asumir de forma solidaria la pérdida económica junto con la entidad bancaria. Hasta ahora, en muchos conflictos por fraudes digitales, la presión judicial se concentraba en las entidades financieras, mientras que otras empresas tecnológicas quedaban en un segundo plano.
Para la asociación de usuarios, esta resolución refuerza la idea de que cualquier intermediario tecnológico involucrado en la gestión de nuestras finanzas digitales debe responder cuando sus fallos de seguridad contribuyen a un fraude. Hoy en día, la operativa financiera está prácticamente digitalizada al cien por cien, apoyándose en móviles, aplicaciones y sistemas en la nube gestionados por distintos proveedores.
En este contexto, el control sobre las líneas móviles, las tarjetas SIM y los sistemas de autenticación se convierte en un elemento crítico. Si una operadora permite portabilidades o duplicados sin identificar correctamente al solicitante, o si un banco relaja los protocolos de verificación, el conjunto del sistema se resquebraja y abre la puerta a los ciberdelincuentes.
Asufin también recuerda que lleva tiempo reclamando que el fraude financiero se aborde como uno de los problemas más urgentes para los consumidores dentro de los foros institucionales. La asociación forma parte del Foro de buenas prácticas financieras, creado en 2022 por el Ministerio de Economía, Empresa y Comercio, donde comparte mesa con patronales bancarias, otras asociaciones y el Defensor del Pueblo.
Tras la última reunión de este foro, el ministro de Economía, Carlos Cuerpo, anunció la puesta en marcha de una “brigada antifraude financiero” en la que también participará el sector de las telecomunicaciones. La idea es diseñar respuestas coordinadas frente a delitos que, como el SIM swapping, combinan fallos de seguridad en varios eslabones de la cadena.
Fraude financiero en alza y necesidad de más protección
El caso de Vodafone y WiZink se produce en un momento en el que los fraudes vinculados a la digitalización de los servicios bancarios no dejan de crecer, tanto en España como en el conjunto de Europa. El uso masivo de la banca móvil, la autenticación por SMS y la vinculación de múltiples servicios a un mismo número de teléfono han convertido la tarjeta SIM en un objetivo prioritario para los delincuentes.
Organismos públicos y asociaciones de consumidores llevan tiempo advirtiendo de que las medidas de seguridad deben evolucionar al mismo ritmo que lo hacen las técnicas de los estafadores. Esto implica endurecer los requisitos para la emisión de duplicados SIM, mejorar los sistemas de detección de operaciones sospechosas y reforzar las capas de autenticación más allá del simple envío de códigos por mensaje de texto.
La sentencia deja claro que, a ojos del juzgado, no basta con atribuir la culpa a “terceros desconocidos”. Si el fraude se hace posible por procedimientos internos poco exigentes, sistemas mal configurados o una respuesta deficiente ante las alertas, las empresas implicadas en la cadena de servicio deben asumir el coste económico del daño causado al usuario.
En paralelo, se insiste en la importancia de que los consumidores vigilen con atención sus movimientos bancarios y reaccionen de forma inmediata ante cualquier indicio de suplantación, como la pérdida súbita de cobertura, mensajes extraños de su operador o avisos sobre cambios de contraseña que no han solicitado. Denunciar rápido y comunicarlo a bancos y telecos sigue siendo clave para limitar el impacto de estos fraudes.
El pronunciamiento del Juzgado de Primera Instancia nº 44 de Madrid envía un mensaje nítido: el riesgo del SIM swapping no puede recaer solo en el bolsillo del cliente. Cuando un fraude se apoya en la combinación de portabilidades inseguras y fallos de autenticación bancaria, la responsabilidad se reparte entre quienes gestionan esas piezas críticas del sistema financiero digital, abriendo la puerta a que en España se exijan estándares más altos a bancos, operadoras y demás actores tecnológicos implicados.
