La ciberseguridad ante el uso de billeteras virtuales
El curioso frenesí de comunicación e información en el que nos hemos sumido, es el que ha contribuido a que las cosas desaparezcan. La información y -como contrapartida- la esencia de las no cosas, se coloca delante de las cosas y las hace languidecer.
En algún punto de este periplo de humanidad ampliada por el que deambulamos, el orden terreno está siendo sustituido -a veces- o complementado -en tantas otras- por el orden digital. Este desnaturaliza las cosas del mundo, informatizándolas y haciéndolas desaparecer, mientras recorremos extasiados la transición desde la era de las cosas a la edad de las no cosas mutando en crédulos infómanos, encandilados por el oropel de los datos y la información.
Ello ha ocurrido con particular intensidad en algunos sectores de la economía. Se desmaterializo la riqueza y con ella el dinero, convirtiéndose en un intrincado ovillo de datos criptográficos que dan origen a criptomonedas. Desaparecieron las billeteras de la dama y el caballero, puesto que nuestra documentación la portamos en apps públicas como Mi Argentina y el dinero está disponible on line en wallets o billeteras virtuales y -por consiguiente- se están desvaneciendo los edificios señoriales que geolocalizaban a los bancos, ya que ahora están contenidos en aplicaciones tales como BruBank, Wilobank, OpenBank o en los más diversos homebanking.
Las denominadas billeteras virtuales son un recurso propio de las fintech que permiten a su usuario efectuar todo tipo de pagos -incluidos servicios-, enviar y recibir dinero de manera inmediata, sin necesidad de contar con una cuenta bancaria, desde su dispositivo móvil y utilizando los fondos que le han transferido desde un banco o desde otra billetera virtual.
Esto significa que las billeteras virtuales permiten al usuario almacenar dinero en línea, que luego pueden utilizar para hacer pagos del mismo modo o enviarlo a quién deseen. En la actualidad, existen en la Argentina más de 34 startups diferentes disputándose el mercado en el marco de una competencia signada por algunas propuestas líderes como MercadoPago, UALA y Naranja X; donde también apuesta fuerte la banca pública de la mano de la bonaerense Cuenta DNI -Banco Provincia-, de BNA+ -del Banco Nación- y el consorcio de más de treinta bancos privados y públicos que lanzó una solución de pagos conjunta: MODO.
Para poder utilizar una billetera virtual, sólo se requiere que el usuario se registre y proceda a crear una cuenta. Luego, se podrá depositar dinero en dicha cuenta recurriendo a una tarjeta de crédito o débito, o bien, puede transferirse dinero desde otra cuenta bancaria.
Esta herramienta permite que el usuario pueda cargar distintos métodos de pago de uno o varios bancos en un mismo dispositivo móvil y, desde allí, elegir la forma de pago que más le convenga, así como la plataforma que desee, sin necesidad de utilizar tarjetas físicas o efectivo. Por otra parte, la aplicación muestra un registro de los últimos movimientos para que el usuario pueda tener un mayor control de las operaciones.
La utilización de este mecanismo desmaterializado de gestión del dinero, apareja una serie de beneficios para el usuario, ya que ahorra tiempo, implica una significativa reducción del riesgo ante perdidas y/o robos propias de las billeteras físicas; brinda mayor seguridad al no cargar con sumas de dinero en efectivo; permite efectuar de inmediato operaciones en línea sin que gravite la localización geográfica y neutraliza el traspaso de objetos tales como efectivo -y con ello, los riegos propios de la falsificación de billetes- o tarjetas plásticas -que permiten el hurto de sus datos para la posterior perpetración de delitos- tan habituales.
El phono sapiens contemporáneo puede olvidar su billetera al salir de su casa, pero no su teléfono celular, ya que ocupa un rol central en su vida. Gran parte de la cotidianeidad -trabajo, esparcimiento, familia, amigos e inclusive la economía- se encuentra atrapada en un enjambre de datos binarios procesados por el black mirror en el que nuestra imagen se refleja y languidece diariamente; convirtiéndolo en un blanco muy atractivo para ciberdelincuentes que utilizan software malicioso -malware- e ingeniería social para vulnerar los dispositivos móviles de los miles de usuarios de billeteras virtuales.
Desde luego que el objetivo consiste en apropiarse del petróleo actual -los datos- que les permitan acceder al home banking, a las billeteras digitales y otras apps financieras con la finalidad de hacerse de fondos.
Billeteras atacadas
La Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) indica que se ha registrado un alza del orden del 400% en las denuncias por delitos perpetrados a través de las wallets y que Mercado Libre y Mercado Pago fueron las principales plataformas afectadas, habiendo superado a los hackeos de Whatsapp, las intromisiones de Facebook y las estafas de Instagram.
Desde el referido organismo, señalaron que también se detectaron accesos a otras apps financieras como PayPal, accesos y operaciones no autorizadas en exchanges de criptomonedas como Ripio o Buenbit y la vulneración de plataformas de juegos monetizados como Playstation que tienen asociada una tarjeta de crédito.
Ante el refugio masivo en billeteras digitales por parte de un importante universo de usuarios, es lógico que las denuncias se incrementen, ya que los delincuentes van donde está el dinero. Antes estaba en las billeteras físicas, ahora desmaterializado y descompuesto en bits en los dispositivos móviles. De algún modo, lo que ocurre con la modificación de este tipo de delitos es la contracara del beneficio y la comodidad de tener el dinero disponible on line y operativo desde el dispositivo móvil.
¿Qué ocurre con MP?
En relación a la ultra popular Mercado Pago, la secuencia para apropiarse de los fondos almacenados y disponibles on line, se construye de la siguiente manera: un delincuente se apropia de un celular que si no logra desbloquear extrae e inserta el chip en un nuevo dispositivo -de allí el acierto de la innovación que propone el IPhone 14 con la E-Sim- obteniendo de ese modo la dirección de mail, número de teléfono y acceso a sistemas de mensajerías instantánea como Whatsapp; motivo por el cual es de suma trascendencia instalar en cada dispositivo móvil y aplicación con la que se interactúe el doble factor de autenticación (2FA). Acto seguido, ingresa a la web de Mercado Pago, escribe al correo electrónico del prestador y requiere blanquear la contraseña, motivo por el cual la billetera envía un código para cambiar la clave a través de un SMS, mensaje de WhatsApp o llamado telefónico automático. Así, cambia la contraseña, ingresa a la cuenta, la vacía, realiza compras o gestiona la obtención de un crédito o -como variante delictiva- escribe a los contactos de la víctima ofreciendo la venta de moneda extranjera o bien requiriendo que le efectúen una transferencia.
Cualquier intento de ingreso a una cuenta de Mercado Pago desde un nuevo dispositivo requiere de dos factores de autenticación. Si bien un mensaje por SMS a la línea telefónica puede actuar como segundo factor de autenticación, es necesario -sin excepción- pasar el primer nivel; esto es, contraseña para ingreso a la app mediante reconocimiento facial, código numérico, huella digital o validación por correo electrónico. Como medida adicional, el usuario de Mercado Pago puede configurar como segundo factor de autenticación -en vez del SMS- la contraseña de un sólo uso o One Time Password.
Es muy importante no perder de vista que, para optimizar las medidas de ciberseguridad, se debe introducir una contraseña en el buzón de voz; puesto que ante la eventualidad de que el dispositivo pudiera ser desbloqueado, se puede acceder al e-mail desde donde los delincuentes envían un mensaje requiriendo el blanqueo de la clave y la respuesta con el PIN se efectúa de modo telefónico; sistema que también es empleado por Whatsapp. Los delincuentes no atienden el teléfono, pero el código para modificar el password queda registrado en un mensaje de voz que sólo se verán impedidos de escuchar si se ha insertado un código o PIN al correo de voz.
Como no todas las aplicaciones financieras funcionan de la misma manera, veamos lo que ocurre con la diseñada por un conglomerado de Bancos denominada MODO ante el robo del celular de cualquier usuario.
A propósito de MODO
Esta wallet tiene un sistema que detecta que está siendo instalada en un nuevo dispositivo, a través de la funcionalidad hard token obliga al usuario a realizar un nuevo onboarding. De esta forma, debe pasar todas las validaciones de identidad -por caso, foto y prueba de vida- que se confrontan con la información del RENAPER y de ese modo comprobar que sea la misma persona; debiendo responder además preguntas de seguridad.
¿Y con Cuenta DNI?
Si bien el uso del teléfono celular como instrumento de pago ya se había convertido en una tendencia mundial, la cantidad de personas que operan a través de billeteras digitales creció exponencialmente en la Argentina durante los últimos dos años a causa de las condiciones de distanciamiento social que impuso el unitiempo que significó la sindemia que aún transitamos.
La bonaerense Cuenta DNI es el mejor ejemplo de este fenómeno. Desde su relanzamiento -que data de abril de 2020- sumó más de 4 millones de usuarias y usuarios. Producto de ese universo de usuarios, la billetera digital del Banco Provincia cuenta con interesantes medidas de seguridad, tanto para validar la identidad de los usuarios como al tiempo de operarla.
En efecto, durante el proceso de instalación de la aplicación, la identidad de la persona es validada mediante reconocimiento facial por el Registro Nacional de las Personas (RENAPER) y el acceso para operar se realiza a través de una clave de entre 4 a 8 dígitos, mediante huella digital o identificación biométrica; dependiendo del dispositivo móvil en el que se instale.
Si por alguna razón la clave de acceso es ingresada diez veces de manera errónea, la aplicación se bloquea y hay que volver a instalarla. Para desactivar la aplicación hay tres alternativas. La primera, eliminarla del celular. La segunda, ingresar la opción "Olvidé mi contraseña" o, la tercera, llamando al 0810-666-CDNI (2364) y pedir el bloqueo. Esta opción es muy útil ante la pérdida o el robo del dispositivo móvil.
Sin perjuicio de ello, los clientes de Banco Provincia pueden llamar al 0800-222-2776 para suspender BIP Móvil y Cuenta DNI de inmediato.
Con sólo otear el lienzo en la que diariamente se plasma nuestra épocalypsis actual, se puede avizorar que el celular se ha erigido en la síntesis que contiene gran parte de las no cosas y ofrece algunas soluciones cómodas, bajo un cielo encapotado de señales binarias, pero también apareja nuevos riesgos. En un contexto de humanidad ampliada, la prevención es la clave para hacer de la tecnología una aliada y no la puerta de ingreso a una distópica versión del presente anhelado.
(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.
Comments