El celular es la billetera de hoy. Cuando un delincuente roba un celular, puede acceder fácilmente a los aplicativos móviles de las entidades financieras de la víctima y robar el dinero de sus cuentas de ahorros, o solicitar préstamos de miles de soles. A medida que se digitaliza la banca, también lo hace la delincuencia.

Ahora, incluso, ya no es necesario que roben el celular para acceder a las cuentas bancarias, lo pueden hacer sin que la víctima se dé cuenta, y luego, en medio de la incertidumbre de saber a dónde acudir para pedir ayuda, la persona agraviada se encuentra con un portazo de las empresas y entidades involucradas que rechazan su reclamo y la dejan solo con una deuda por pagar. 

"Entre enero y julio de este año Indecopi ha recibido 4.372 reclamos contra entidades del sistema financiero por operaciones no reconocidas." 

La tarde del 1 de junio del 2022, Adjani Guerrero se encontraba en sus actividades diarias, cuando de pronto se le fue la señal del celular, algo común considerando que estaba en una zona alejada en Ayacucho. 

Adjani pensó que se trataba de fallas en la cobertura, pero cuando llegó a una zona con WiFi, recibió mensajes de sus familiares y amigos, quienes intentaron comunicarse con ella, pero les aparecía como “línea cancelada o fuera de servicio”.

La joven llamó a la operadora Movistar, donde le indicaron que su línea estaba bloqueada por “pérdida o robo”, y cuando se acercó a la agencia a reponer su chip, le dijeron que no se lo podían entregar, porque su número ya le pertenecía a otra persona en Ica. Eso fue solo el inicio del martirio que arrastra hace más de un año. 

En los días siguientes Adjani se dio con la sorpresa que tenía una deuda de S/11.000 de su tarjeta de crédito del banco BBVA: las terceras personas que suplantaron su identidad, para apoderarse de su número, vulneraron el aplicativo de su banca móvil y al no encontrar dinero en sus cuentas de ahorros, realizaron consumos con su tarjeta de crédito por S/9.900 en seis cuotas a través del proveedor de pagos digitales VendeMás, que le generó la deuda de S/11.000 contando los intereses. 

Toda la operación de la que fue víctima, entre el apoderamiento de su línea móvil y el consumo de crédito, ocurrió en menos de dos horas, sin que le robaran el celular ni sus tarjetas de débito o crédito: esta modalidad es conocida como ‘Sim swap’, explica el especialista internacional en Fraudes para la Industria Financiera y de Telecomunicaciones, Msc. Herbert Galiano. 

"El delincuente se hace pasar por ti para bloquear tu línea móvil y pedir la reposición del chip, mientras que en paralelo la víctima se queda sin señal. Y hoy en día prácticamente el 100% de las transacciones que uno hace por los aplicativos móviles son autenticadas por un SMS al número de celular, entonces de ese modo accede a las apps bancarias. Pero el delincuente sabe a quién hacerlo, previamente estudian y recogen la información de la víctima", precisa el especialista. 

Como el caso de Adjani hay miles más, con algunas variantes de las modalidades de robo, pero que involucran a los mismos actores de la cadena, cuyos vacíos de seguridad facilitan los consumos no reconocidos por los usuarios: un banco o entidad financiera, un proveedor de medios de pago como POS o pagos digitales, y una operadora de telefonía. 

Solo entre enero y julio de este año, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi) ha recibido 4.372 reclamos de consumidores contra las entidades del sistema financiero relacionados con operaciones no reconocidas. Este elevado número ya es cercano a lo que la misma entidad registró durante todo el 2022: 5.308 reclamos. 

Además, durante el 2022, el Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel) identificó cerca de 80.000 reclamos presentados por los usuarios ante las empresas operadoras por contrataciones de teléfono no solicitadas, y además otros 10.000 cuestionamientos de línea prepago. Las cifras también van en aumento para este 2023, ya que solo en el primer trimestre del año (enero-marzo) se reportó casi 37.000 reclamos de contrataciones no solicitadas, la mitad de estas son de servicio móvil. La empresa con más reclamos es Movistar, que engloba el 71,6% del total. 

OjoPúblico realizó un análisis a toda la cadena involucrada en los consumos no reconocidos, y en esta primera entrega de la serie "Robos digitales" abordamos la función que cumplen las empresas operadoras de telefonía, que terminan siendo implicadas en los casos de robos financieros, a través de la usurpación de las líneas móviles de los agraviados por los delincuentes. 

Este medio observa que para los usuarios afectados no hay claridad acerca de dónde reclamar la indemnización por los perjuicios generados por estas fallas de seguridad de sus servicios, al permitirse fácilmente la suplantación de su identidad, para que terceros desconocidos se apoderen de su número telefónico y con ello facilitarle el acceso a sus aplicativos móviles bancarios. 

Fallas de seguridad en operadoras móviles 

Osiptel alerta que desde el primer año de la pandemia se registró un considerable incremento de los casos de fraude financiero que involucran a las operadoras móviles por suplantación de identidad. 

“Empezamos a notar que había mucha suplantación de identidad, más de 100 casos en un momento, que de pronto empezaron a llegar usuarios que decían ‘me quitaron los ahorros de mi vida’, ‘yo nunca hice esa portabilidad’, ‘yo nunca hice esa reposición de chip’”, contextualiza la funcionaria de Osiptel, Tatiana Piccini.

En esa línea, el experto Herbert Galiano explica que el robo de celular antes estaba vinculado a la reventa de los equipos, pero ahora los ciberdelincuentes se han dado cuenta de que hay un valor añadido y donde enfocan su ataque es en el contenido del móvil, como los aplicativos de los bancos: “Hoy en día toda la banca se ha ido al móvil", añade.

Otro de estos casos contactados por OjoPúblico es el de Alessandra Alcocer, que el 17 de julio de este año sufrió el hurto de su celular en un centro comercial en San Miguel. Cuando se percató del hecho, acudió inmediatamente a bloquear su línea de Movistar. 

Pero grande fue su sorpresa cuando al día siguiente se percató que sus ahorros en soles y dólares en el Banco de Crédito del Perú (BCP), de un total equivalente a S/11.000, fueron sustraídos mediante transferencias realizadas desde el aplicativo móvil. 

Además de ello, amigos y familiares le reportaron que “alguien” se hacía pasar por ella por Whatsapp para pedirles dinero prestado, algunos cayeron y desembolsaron al delincuente un total de S/20.000. 

“Empezamos a notar que había mucha suplantación de identidad, de usuarios que decían ‘me quitaron los ahorros de mi vida’"

Alessandra no entendía lo que pasaba y cuando quiso reponer su chip móvil en una agencia de Movistar, le informaron que no podían dárselo porque ya “alguien” había hecho ese trámite. Luego de tanta insistencia y de tener que acudir a otra agencia logró que vuelvan a bloquear el chip y que se lo entreguen a ella.

“Fui a Movistar San Miguel y me dijeron que no podían darme hasta 24 horas, pese a que les dije que estaban robando con mi número. Tuve que ir a otra agencia y me dieron el número en cinco minutos. Pero esto, de que estén entregando números a nombre de otras personas, pudiendo dejar ingresar todos tus datos, es fatal, porque ingresaron a mi Whatsapp, conversaron como si fuese yo con otras personas”, cuenta la agraviada. 

El primer responsable de la cadena en los casos de Adjani y Alessandra es la operadora de telefonía —en ambas Movistar—, ya que realizaron la reposición del chip sin el consentimiento de ellas y no cumplieron con la validación correcta de identificación de seguridad, como la obligatoria toma de la huella biométrica y la firma. 

Incluso, en el caso de Adjani Guerrero, la operadora aceptó que la titularidad de su número pasó por tres personas diferentes en tan solo una hora y media, todo eso sin su consentimiento. 

En el marco de la investigación del caso de Adjani (Ayacucho), Telefónica del Perú (Movistar) informó que el lugar donde se realizó la suplantación de identidad fue en un servicio tercerizado encargado de la promoción y venta de sus chips. 

"La operadora es la responsable de cualquier acción a su nombre, ya sea directa o a través de terceros"

Sin embargo, según explicó Osiptel a OjoPúblico, en casos como estos, la operadora es la responsable de cualquier acción a su nombre, ya sea directa o a través de terceros. 

“Para nosotros, ellos son responsables de todo el proceso de contratación, si tercerizan o no es un tema interno de la empresa. La empresa operadora es la responsable del proceso de contratación, por eso ahora los terceros y vendedores hasta el último de la cadena tiene que pasar biometría, tiene que validarse la identidad”, acota Tatiana Piccini, de Osiptel. 

Este medio pidió los descargos a Movistar sobre los testimonios que involucran las fallas en su actuar, pero luego de ocho días de espera indicaron que no responderían. 

Estos no son casos aislados, en redes sociales abundan testimonios de personas víctimas de Sim swap en los que, ya sea porque le robaron el celular o sin que se den cuenta, fueron vulnerados de la misma forma: los delincuentes se hicieron pasar por ellos para recoger su chip de telefonía y tener libre acceso a sus cuentas bancarias, robándole miles de soles a los agraviados, e incluso a amigos y familiares a través de mensajes por Whatsapp o Facebook. 

Uno de estos casos es el de Teresita Medrano (32), que se quedó sin señal en la madrugada del feriado del 29 de julio de este año, pensó que había fallas en la cobertura telefónica, pero estaba siendo víctima de Sim swap, donde le robaron S/12.000 de su cuenta de ahorros en Agora, app móvil de Financiera Oh! (grupo Intercorp). 

Cuando Teresita se acercó a una agencia de su operadora Claro —luego de hacer una larga cola—, la derivaron a unas cabinas para atenderla por videollamada, ahí le aseguraron que el corte de la señal era por falta de pago de una deuda y que debía de pagar en caja. Sin embargo, en caja le indicaron que no había ninguna deuda y que el motivo fue porque registraba una portabilidad a Movistar.

Teresita se acercó a Movistar para reclamar por la migración sin su consentimiento, y pedir que le retornen a su anterior operadora, pero le indicaron que ese día no tenían el personal de atención al cliente para solucionar su requerimiento. Ella —indignada— pidió el libro de reclamaciones, y no tuvo ninguna ayuda para bloquear el chip, que ya estaba en control de los delincuentes. 

Aunque días después logró bloquear la línea, cuando se acercó a la agencia de Movistar le negaron la entrega de su chip y solo obtuvo más trabas. Medrano señala que en el proceso de reclamo se encontró con otras siete personas con el mismo problema, en los que esta operadora permitió la suplantación de identidad para acceder a su línea móvil, lo que facilitó el robo de sus cuentas financieras.

Un informe de la Defensoría del Pueblo publicado en mayo último, revela que las denuncias por ciberdelitos formuladas ante la Policía Nacional se cuadruplicaron entre el periodo del 2018 al 2021. Las dos modalidades más recurrentes fueron el fraude informático (71,7%) —vinculado principalmente a las transferencias digitales de fondos no autorizados— y la suplantación de identidad (20,2%), así, ambas modalidades representan nueve de cada diez. 
 

Las obligaciones de las operadoras 

Ante la identificación del débil proceso de validación de identidad para sacar una línea, bloquear, reponer un chip o realizar un cambio de titularidad, el Osiptel destaca que desde el año pasado vienen tomando medidas adicionales con los operadores para dar mayor seguridad al proceso de contratación. 

“Nosotros hemos visto que los trámites para los procesos de contratación venían siendo vulnerados y estaban sucediendo muchas suplantaciones de identidad, por lo que establecimos obligaciones adicionales a los operadores. Claro, pero hay otros sectores también involucrados. Por ejemplo, para hacer estas suplantaciones el delincuente también está haciendo seguimiento a la tecnología, buscando por dónde sacar la vuelta, también toma conocimiento de datos, de cómo acceder a la cuenta de la persona a la cual él quiere suplantar y poder vaciarle sus cuentas de ahorros”, apunta Tatiana Piccini.

Para empezar, el usuario puede bloquear su línea móvil por los diferentes canales disponibles de la empresa operadora, sea en agencias de manera presencial o por teléfono. En el último caso, no es necesario que se llame desde un celular del mismo operador.

Sobre este punto, es preciso señalar que no hay una disposición fija o clara para que se dé prioridad de atención en agencias a los usuarios que quieran bloquear el móvil por pérdida o robo. 

Ello le sucedió a Edison Tello, un usuario de Entel, que, cuando fue víctima del robo de su celular, se acercó a una agencia cercana de su operador y pese a indicar que le acababan de robar el celular y necesitaba con urgencia bloquear su chip, el personal de Entel le respondió que tenía que hacer su cola. 

Esos minutos de espera fueron claves y suficientes para que los ladrones lograron ingresar a su aplicativo móvil bancario y le robaron S/7.000. 

"Vimos que en los trámites en operadoras habían muchas suplantaciones de identidad y los hemos fortalecido. Pero también hay otros sectores involucrados."

Consultados sobre este hecho, desde Entel indicaron que la atención es por orden de llegada. “Se recomienda realizar el bloqueo vía telefónica para una mayor inmediatez. Comprendemos que en esos momentos posteriores tal vez no se cuente con un celular cercano, pero siempre que sea posible, apoyarnos en un familiar o persona cercana para realizar el bloqueo. De igual modo, inmediatamente comunicarse con las entidades financieras para comunicar el hecho”. 

Cuando un usuario solicita el bloqueo, la operadora está obligada a suspender el paquete completo: la línea, el chip y el equipo. Y esa información debe ser trasladada a las demás operadoras para que también se bloquee y no pueda ser utilizado en ninguna de las redes. 

Luego, para la reposición del chip de la persona agraviada, la operadora debe cumplir con validar presencialmente la identidad del titular, con su DNI, registro de huella biométrica con cinco intentos como máximo y su firma. 

Además, la línea se activa recién en cuatro horas, y en ese lapso la empresa está obligada a alertar al usuario sobre dicha reposición a través de un correo electrónico y mensaje de texto. Si el usuario desconoce dicha reposición debe comunicarse para que esta se suspenda. 

“No te dan el servicio en forma inmediata, se ha establecido un tiempo de cuatro horas para que se pueda activar la línea, porque habíamos notado que algunos delincuentes estaban suplantando a las personas. Por ejemplo, lo hacían pasar como robo y ellos rápidamente hacían la reposición del chip, luego entraban a la línea de la persona, y a veces las víctimas guardan datos en su servicio [chip] y pasaban estos fraudes bancarios”, explicó Tatiana Piccini, de Osiptel. 

Finalmente, además de la identificación biométrica, desde el 31 de marzo se ha implementado el uso obligatorio de la contraseña única, como mecanismo adicional de seguridad para que el usuario realice trámites del servicio móvil.

Investigación muy limitada 

En casos de consumos no reconocidos, los afectados presentan sus reclamos ante el banco, el Indecopi, y la operadora en caso haya suplantación de identidad como los testimonios mencionados en este informe. Sin embargo, existe un campo gris en el proceso de investigación. 

El banco, al recibir el reclamo, tiene 15 días para investigar y dar una respuesta al usuario afectado, pero su análisis se basa netamente en si se cumplieron con los procesos de identificación para ingresar a la app móvil. 

A nivel de reguladores, el Indecopi recibe los reclamos por consumos no reconocidos pero, si el caso involucra a una operadora de telefonía, no toman en cuenta ese contexto porque señalan que ello es competencia de Osiptel. 

Así, al momento de hacer la evaluación del caso, el Indecopi solo se limita a analizar el accionar del banco y si se cumplieron los procesos de validación para realizar los consumos. 

Esto último termina siendo un espacio gris incierto para los agraviados, porque no se toma en cuenta todo el contexto del robo, y en muchos casos —como le sucedió a Adjani Guerrero— se declara infundado el reclamo de la víctima porque se “acredita que el banco si adoptó las medidas de seguridad necesarias en la operación no reconocida por la suma de S/ 9.900, por lo que fue válidamente autorizada”. 

Y así el proceso resulta en un trance entre frustración e incertidumbre, pese a que se demostró que al momento de efectuado el consumo, la línea telefónica no le pertenecía a la agraviada. Y en lo que respecta a la operadora, el Indecopi tampoco puede determinar si hubo infracción. 

Fuente: Resolución de Indecopi.

Adjani también presentó un reclamo ante Osiptel, pero le respondieron que eso se tiene que ver directamente con la operadora —Movistar—, la cual también evadió responsabilidad, al indicar que lo ocurrido con el consumo no reconocido no les compete y debe verlo directamente con su banco o en las instancias judiciales correspondientes.

 

La representante del Osiptel, Tatiana Piccini, explicó que lo primero es presentar el reclamo ante la operadora. Si el usuario no queda conforme con la respuesta, puede apelar y en segunda instancia el caso pasa a manos del Osiptel. Sin perjuicio de ello, en paralelo, el regulador puede iniciar un procedimiento sancionador a través de su Dirección de Fiscalización e Instrucción.

Sin embargo, el Osiptel no está facultado para ordenar la indemnización al usuario por los perjuicios generados, eso se ve en instancias del Poder Judicial. 

Tatiana Piccini señaló que han establecido en la normativa la obligación de las operadoras a dar toda la información sobre los contratos no reconocidos en máximo cinco días —ya que antes estos se negaban a hacerlo—, y así facilitar al usuario las pruebas necesarias para presentar su denuncia ante el banco o en instancias judiciales. 

OjoPúblico trasladó el caso de Adjani Guerrero a Osiptel, quienes aseguraron que mantendrían comunicación con la afectada, pero al cierre de este informe la usuaria informó no haber sido contactada por el regulador. 

Adjani también presentó una denuncia ante la Fiscalía, pero en estas instancias le indicaron que no se puede demandar a una empresa como tal, sino a personas naturales responsables en toda la cadena, lo cual se encuentra en investigación. 

Ante ello se pregunta “¿y en qué instancias puedo denunciar a Movistar para que me indemnice por todo el perjuicio generado?”. Ella tenía previsto una operación de salud, pero ahora la ha suspendido porque se vio obligada a pagar la deuda de los casi S/11.000 para evitar tener una mala calificación crediticia en Infocorp, además de los S/5.000 que ha gastado en abogados y trámites por la denuncia. 

"Se siente mucha impotencia que estas grandes empresas sean intocables y que en su mayoría los casos sean archivados."

“Se siente mucha impotencia que estas grandes empresas sean intocables y que en su mayoría los casos son archivados. No porque el afectado lo quiera, sino porque —en el camino— abogados y autoridades dicen ‘no hay casos en que le ganaron a estas empresas’. Yo iré hasta lo último porque robaron un dinero que iba destinado a mi operación del tumor en la mama izquierda y, en esta lucha, apareció otro tumor en la mama derecha. Solo deseo recuperar y operarme lo más pronto posible”, expresó. 

En el caso de Alessandra Alcocer, el banco BCP finalmente le solucionó su reclamo, pero eso fue luego de haber apelado a una multa de 3,78 Unidades Impositivas Tributarias (UIT) en primera instancia por parte de Indecopi, lo que alargó el proceso de reclamo que duró más de un año en total, desde la fecha en que fue víctima del consumo no reconocido. 

“En su momento hemos tomado conocimiento del caso y nos hemos comunicado oportunamente con ella [Alessandra Alcocer]. Su caso ya ha sido resuelto”, respondió el BCP a OjoPúblico al ser consultados sobre esta denuncia. 

Sin embargo, la vulneración que se dio en su línea telefónica, aparte del robo bancario, generó que le estafen miles de soles a sus amigos y familiares. Además de ello, también le perjudicó su salud, tanto física como mental, ya que ella es paciente con enfermedad crónica y tuvo que dejar de pagar el seguro al quedarse sin ahorros. “Eso nadie me va a regresar, y sumado a todos los problemas generados con Infocorp”.