“Ayer recibí una llamada de un empleado informando de un cargo que no reconocí, al proporcionarme información que sólo el banco conoce, como movimientos de los últimos tres días y número de tarjeta, pensé que realmente era un ejecutivo por lo que confiado hice lo que me pidieron”… “Se comunicaron para reportarme un crédito que no contraté, para devolverlo me hicieron descargar una aplicación e ingresar mi clave y contraseña; fui víctima de fraude, pero solo la empresa conocía mi información”. Los hechos descritos son reflejo de las múltiples denuncias que día a día se presentan ante el INAI, argumentando la falta de consentimiento en las operaciones contratadas, y fuga de información por parte de los responsables.
Ciertamente, los delitos por fraude electrónico se han disparado en los últimos años, los métodos utilizados son cada vez más sofisticados y emplean la tecnología como principal herramienta, como en ciberataques, hackeos, malware —software malicioso diseñado para infiltrarse en un dispositivo sin conocimiento de su propietario y causar daños e interrupciones en el sistema o robar datos— o ransomware —que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para dar acceso—; no obstante, en muchas de sus modalidades el factor humano es pieza fundamental para la materialización de los delitos.
El nombre técnico de estas modalidades es ajeno para la gran mayoría; pero casi todos las conocemos de primera mano, ya sea algún familiar, amigo o nosotros mismos hemos visto que cargan a nuestras cuentas cantidades casi desapercibidas por compras que no realizamos (carding); recibimos correos electrónicos o mensajes supuestamente de algún banco, empresa u organización, generalmente de prestigio, con el fin de engañarnos para dar nuestros datos (Phishing); nos han llamado “ejecutivos bancarios” informando de cargos ficticios, a fin de que ingresemos a un servidor o descarguemos alguna aplicación, y demos acceso a nuestros datos y cuentas (vishing); o bien, nos envían mensajes de texto suplantando a un banco y solicitando información personal o financiera para cometer un delito (smishing).
Los call centers que se montan específicamente con cientos de personas dedicadas a defraudar son un problema en todo el mundo; sus ‘ejecutivos’ son verdaderos maestros del engaño que persuaden a los titulares a entregar sus datos para estafarlos, pero además cuentan con toda la infraestructura para ello, disfrazan números de teléfono y simulan entradas de teléfono automáticas. Si bien los adultos mayores son más vulnerables, personas de todos los niveles socio económicos y rangos de edad son timadas: descargan aplicaciones, ingresan a links, proporcionan claves y contraseñas y autorizan la transferencia de fondos y contratación de créditos, confiando en la autenticidad de los operadores.
En general, las víctimas refieren que no dudaron de la identidad de sus interlocutores, debido a que les dieron datos que sólo el banco o empresa conoce; no obstante, en este mundo digital donde la información se transfiere en segundos, y los sistemas de seguridad son rebasados de manera vertiginosa, es sumamente difícil, sino imposible, acreditar la filtración de la información por parte del responsable del tratamiento, las empresas y entidades financieras desconocen cualquier relación con las personas que se comunican en su nombre, pero, además, las cláusulas contractuales establecen que el uso de claves y contraseñas son responsabilidad del titular.
Como comisionada del órgano garante de la protección de datos personales debo insistir y alertar a todos sobre la importancia de proteger su información, particularmente la necesaria para concretar operaciones que afectan el patrimonio, como claves de usuario, números de identificación generados con dispositivo o contraseñas; datos que nunca serán requeridos por empresa o entidad financiera alguna.
La autora es comisionada del INAI.