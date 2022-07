Una venta apurada, una encomienda que llegó sin aviso: dos instancias que pueden terminar en un problema si no tenemos cuidado en qué información compartimos.

A Juan le llegó un correo electrónico que simulaba ser del Correo Argentino por una encomienda pendiente. Fue una casualidad: ese mail llegó en el momento justo en el que realmente estaba esperando un pedido en la Aduana. “Para proceder a la liberación debe cancelar esta diferencia arancelaria dentro del plazo estipulado. Para solicitar los detalles del pago necesitamos, adjunte una captura de su DNI de frente, reverso y una selfie sosteniendo el mismo con una mano, ya que de otra forma no podremos gestionar dicho trámite por usted y necesitara un Despachante de Aduana”. El mail parecía verdadero, pero Juan sospechó.

Marcelo tiene 41 y pasó la mitad de su vida dedicado a la venta de productos por Internet. Un sábado, como cualquier otro, recibió un mensaje a través de Marketplace de Facebook, una plataforma dedicada a la publicación de artículos para la venta. Un comprador lo contactó, con premura por abonar un equipo. Entonces le pidió el CBU, la foto del DNI de adelante y de atrás… “y se lo pasé, porque la verdad pensé que no podía hacer nada con eso”, explica.

No hay que mostrar el DNI. Nunca

Aún antes de la pandemia, pero sobre todo durante, se habilitaron distintos servicios que permitían validar a distancia la identidad de una persona. Para dar de alta una cuenta, por ejemplo, se escanea el rostro y se verifica que esa misma persona coincida con la imagen almacenada en el Registro Nacional de las Personas (ReNaPer). Así, se pudieron abrir cuentas masivamente en billeteras digitales, fintech, bancos, o incluso para validar la identidad de alguien que quiere rendir un parcial a distancia.

En ese sentido, algunos datos biométricos pasaron a ser clave, incluidos los que están incorporados en el Documento Nacional de Identidad, que podrían servir como “foto” para validar una identidad. El ReNaPer, en definitiva, solo valida que esa persona existe. Pero la información que se le envía (por ejemplo, pedir una sonrisa, que gire la cabeza, el escaneo en 3D o pedir una foto junto al DNI) son requerimientos que pueden pedir o no las empresas, según el grado de complejidad que definan. Y de hecho el BCRA tiene requisitos mínimos que las instituciones deben cumplir.

“Hoy el DNI resulta tan importante porque en su parte frontal hay un dato clave, que es el número de trámite, que sirve para hacer un montón de gestiones a nivel organismos públicos, pero también para las fintech, como solicitar créditos. El número de trámite funciona como un doble factor de autenticación para validar la identidad de la persona”, aclara Daniel Monastersky, abogado especialista en protección de datos personales. “La importancia de cuidar esta información es que se puedan generar fraudes o estafas. Cuando alguien te solicite que le envíes una foto del DNI para la compra nunca lo hagas”, explica. “Y si lo hacés, que sea borrando el dato del número de trámite”.

Tener el número DNI y el número de trámite es como tener una tarjeta de crédito y el CVC (el código de verificación): es igual a tener físicamente ese carnet de identidad o tarjeta plástica, por lo que simular nuestra identidad ante un tercero se vuelve muy fácil. Y muy peligroso.

Un crédito para pagar un producto

A Marcelo le transfirieron el dinero con la información que él había provisto. Pero ese dinero no era una simple transferencia. “Empiezo a recibir mensajes de esta persona diciéndome que me había hecho el pago. Hasta ahí yo no sabía nada, solamente que me pidió los datos del pago, me había hecho supuestamente el pago y demás. Cuando vuelvo a la noche a mi casa, miro y los mensajes y me dice “mirá, hubo un problema, el monto era de $5000, hicieron un pago de más, te hicieron un pago por $7500″ y me manda el ticket”, relata en el podcast Internet Me Arruinó. Marcelo creyó que era una estafa. Se fijó en su cuenta, pero efectivamente estaban los 7500 pesos. El error (el depósito extra) parecía verdadero.

En rigor, el dinero había venido de un crédito de una fintech. Sin pedirlo (ni saberlo), tenía acreditado un préstamo a su nombre. Marcelo buscó la razón social, los llamó, amenazó con mandar carta documento y por fin logró, después de varios días, que le dieran de baja el préstamo. Los delincuentes no llegaron a llevarse el producto tampoco. Y él por suerte pudo evitar entrar en el Veraz.

El phishing que le llegó a Juan del Correo Argentino aún no tuvo consecuencias visibles. Pero con esa información pudieron haber activado algún tipo de servicio a su nombre. Todavía no pudo despejar dudas. Las posibilidades, además de la apertura de cuentas en billeteras o bancos (pasó recientemente en bancos que permiten la apertura de cuentas a distancia), también se extienden a solicitar un chip de una nueva línea telefónica, tal como pasó en varias ocasiones, y que a su vez permite tomar el control de otros servicios digitales que usan un SMS como validación (algo que es conveniente evitar).

El cuidado del DNI y cómo denunciar el robo de datos

“Con el DNI se puede validar identidad en muchos servicios digitales, especialmente en aquellos que no piden otra prueba de vida. Entregar la foto del DNI en las manos equivocadas puede generar que nos usurpen la identidad. Además, la combinación de DNI con número de trámite sirve para acceder a muchos servicios oficiales, de forma tal que además de usurparnos la identidad, pueden acceder sin permiso a plataformas haciéndose pasar por nosotros”, señala Horacio Azzolin, fiscal de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci). La Dirección Nacional de Protección de Datos Personales sancionó a varias empresas durante 2020/2021 por justamente solicitar documento y sacarle una fotografía a quienes recibían paquetes en sus casas.

Para evitar la usurpación, existe el formulario del Registro de Documentos de Identidad Cuestionados, que reúne información sobre los documentos que han sido denunciados por extravío o robo. “Los bancos y las entidades financieras, antes de otorgar sus productos, están obligadas a consultar el Registro. De ese modo, podés prevenir que saquen préstamos, tarjetas de crédito o hagan compras en tu nombre”, señala el sitio web. El trámite es gratuito, y se puede hacer de forma presencial (Av. Pte. Gral. Julio A. Roca 710, piso 3, Ciudad Autónoma de Buenos Aires) o por correo postal.

Acuerdo entre fintech, bancos y el BCRA para prevenir estafas

Desde la Cámara de Fintech señalaron que “los casos de fraude en la industria financiera y tecnológica nos preocupan y nos ocupan. Distintas empresas miembro de la Cámara promueven permanentemente iniciativas de educación y concientización para prevenir estafas virtuales”, explicaron.

Y aclararon: “Las fintechs permitieron incorporar tecnología con altos estándares de seguridad y mecanismos para prevenir fraudes. En los últimos años, sumaron tecnología biométrica que implica que para abrir una cuenta sea necesario capturar una foto del frente y dorso del DNI, sobre la que un motor biométrico realiza distintos controles para garantizar su autenticidad (por ejemplo, se rechazan fotos de imágenes o de una captura de pantalla o video). Adicionalmente, se realiza una prueba de vida y una comparación con la selfie que se captura para asegurar que la persona es quien dice ser. Los datos se cruzan con el Registro Nacional de las Personas”.

Por último señalaron: “Estamos convencidos de que es necesario trabajar de forma integrada entre todo el sistema para prevenir el fraude, un mal que afecta a los usuarios de todas las entidades. Es por eso que se está avanzando en un acuerdo anti-fraude con las entidades financieras para terminar con estas maniobras y cooperar entre todos. Existen también acuerdos bilaterales de las principales empresas fintechs con los bancos más importantes. Al mismo tiempo, se está trabajando en una central anti-fraude entre los bancos, las fintechs y el BCRA”, adelantaron.

Por Sebastián Davidovsky