En los últimos tres años, se ha presentado una considerable necesidad y mayor uso de plataformas virtuales para realizar pagos o transferencias financieras. Si bien esto ayuda a los usuarios a realizar movimientos a ‘un clic’ en sus cuentas, también es un espacio de vulnerabilidad ante los cada vez mayores robos digitales. 

De acuerdo a un reciente informe publicado por la Defensoría del Pueblo, el ciberdelito más denunciado ante la Policía Nacional en Perú es el fraude informático, con un 70% de denuncias recibidas, esto es 7 de cada 10 víctimas.

Este delito se comete principalmente con el fin de acceder al patrimonio de la víctima, explica Ricardo Elías Puelles, presidente del Observatorio Peruano de Cibercriminalidad. Agrega que en segundo lugar está la suplantación de identidad, con el fin de acceder a préstamos o vulnerar las cuentas bancarias. 

Si bien, en la primera y segunda entrega de la serie Robos Digitales, OjoPúblico abordó los vacíos de seguridad que se evidencia en las operadoras móviles y en las entidades financieras, que no van acorde con el avance de la tecnología, es importante señalar también la educación al usuario financiero para evitar ser víctima. 

Tanto las empresas privadas como las entidades públicas, deberían intensificar las campañas de educación financiera y recomendaciones sobre el uso de plataformas virtuales, pero a la par los consumidores tienen el rol de informarse. 

El universo de usuarios financieros ha ido en aumento. En el 2019, solo el 42,2% de los peruanos de 18 años de edad a más tenían alguna cuenta en el sistema financiero: cuenta de ahorro, cuenta sueldo, cuenta a plazo fijo o cuenta corriente. Mientras que para el primer trimestre de este año alcanza al 57,4% de la población adulta, según reportó el Instituto Nacional de Estadística e Informática (INEI).  

Elías Puelles reflexiona que en el país falta mucha preparación en línea con el avance de la digitalización, ya que “se impulsó el uso, pero no la educación financiera digital”. 

Además, nadie está preparado para ser víctima del robo del celular o las tarjetas de débito o crédito, por lo que es importante conocer qué hacer en estos casos y ante qué entidades se debe denunciar. 

Modalidades más comunes

El especialista en derecho digital, Erick Iriarte, explica que hay una diferencia entre el fraude y el hurto informático. El primero se da cuando la persona cae en algún tipo de engaño, y el segundo se consuma cuando los delincuentes realizan transferencias electrónicas de fondos sin que la víctima se dé cuenta.

En el caso del fraude, los especialistas consultados coinciden en que la modalidad más común es el Phishing, y de los hurtos informáticos destaca el SIM swap. En ambos casos el delincuente suplanta la identidad, ya sea del banco o de la víctima. 

• Phishing. Es la modalidad en la que los delincuentes suplantan la identidad del banco y envían correos electrónicos o mensajes SMS con un link fraudulento, que redirecciona a una página falsa, donde piden los datos personales o de acceso a las cuentas financieras. Con esa información el delincuente concreta el robo.
  
  “En algunos casos la dirección web es muy diferente a la normal, en otros casos juegan con la diferencia de un solo carácter. Es algo muy similar que hace que la víctima no se percate, y entrega sus datos como nombre y número de tarjeta. El link puede llegar por correo electrónico, SMS, Whatsapp, entre otros”, explica Erick Iriarte. 
  
  Esta modalidad también puede darse mediante llamadas falsas de la entidad financiera. 
  
  “Los delincuentes te dicen que tienen que bloquear tu tarjeta porque han detectado una supuesta operación sospechosa, y que en dos días irá un asesor al domicilio. Y va un suplantador, con el fotocheck falso del banco, indicando que deben recoger su tarjeta y darle una nueva. Supuestamente la rompen en frente del usuario pero igual queda visible los números de la tarjeta, con lo que ya pueden acceder a pagos digitales. Las víctimas son generalmente personas mayores”, explica por su parte el abogado en ciberdelitos, Ricardo Elías Puelles. 
  
  Sobre esta variante del Phishing, la secretaria técnica de la Comisión de Protección al Consumidor N°1 del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi), Evelyn Roa, advierte que es importante que el consumidor tenga claro que la entidad financiera no lo va a llamar ni para recoger su tarjeta ni para pedirle claves. “No les va a pedir información personal de ninguna manera bajo ninguna circunstancia, ni para anular la tarjeta, ni para bloquear”. 

La modalidad del Phishing puede darse por correos, SMS o llamadas falsas. 
 

• Sim Swap. Es cuando suplantan la identidad de la víctima ante su operadora móvil para bloquear el chip, y luego solicitan una reposición de un nuevo chip. Una vez que tienen el nuevo chip con el número celular, solicitan ante la banca móvil el cambio de claves. “Tú sencillamente crees que se te ha ido la línea, pero el delincuente está tramitando una línea en paralelo. Y cuando solicita al banco el cambio de claves, le llega al número que está en poder del delincuente”, explica Elías Puelles. 
   
• Scamming. Es cuando los delincuentes instalan dispositivos en las ranuras donde se introducen las tarjetas de los cajeros, para hacer una clonación de los datos de la tarjeta de los usuarios. 
   
• Fuerza bruta. El delincuente ingresa un sistema a un dispositivo para capturar información y hacer manipulaciones.
  
  Puede ser a través de un troyano o algún otro similar. Esto se da normalmente en computadoras de uso público. “Hay que fijarse que no hay nada conectado. Se llama keylogger que va capturando el sistema de acceso al banco y detecta el número que el usuario escribe, lo que guarda es la información de qué teclas se apretó. Pero es un USB en una máquina, en el celular no es tan sencillo tener un keylogger”, precisó Iriarte. 
   
• Captura de información. Es cuando los delincuentes hacen seguimiento de la víctima, quien en sus redes sociales divulga su información, como fechas de cumpleaños de familiares, nombres de mascotas, los cuales pueden servir como datos para recuperar la clave o tener acceso a los aplicativos móviles. 
  
  “No es una estafa exactamente, sino que es una suerte de ingeniería social. El delincuente va capturando información de su víctima, que ella misma ha publicado, para poder hacer esos sistemas de preguntas. O averigua el número de tarjeta, pero no saben la clave de la tarjeta; sin embargo la gente generalmente coloca como clave de su tarjeta de cuatro números la fecha de cumpleaños, año nacimiento, etcétera. Entonces comienzan a probar con datos que la víctima ha dejado en sus redes sociales”, precisa Iriarte Ahon.

Prevenir los ciberdelitos

El presidente del Observatorio Peruano de Cibercriminalidad, Ricardo Elías Puelles, resume que a nivel social aún hay mucho desconocimiento sobre las medidas básicas de seguridad para manejar las cuentas financieras.

“Desde lo más básico, que las personas utilizan la misma contraseña para todas sus cuentas de redes sociales, la misma para sus cuentas de bancos, o en algunos casos son muy fáciles de acceder como ‘1234’. A nivel intermedio, cuando sí tienen clave diferenciada, no activan el doble factor de autenticación para proteger sus correos y sus cuentas. Y en tercer nivel, falta mucha preparación en cómo reconocer por ejemplo las páginas falsas”, acota.

Estas son las recomendaciones tanto de los especialistas en ciberdelitos, como de las entidades públicas y privadas involucradas en la cadena del uso responsable de las cuentas financieras digitales. 

Para el uso correcto del celular

• Se recomienda tener un antivirus instalado, incluso en dispositivos móviles. 
   
• No instalar aplicaciones de dudosa procedencia. “Por ejemplo, en vez de acudir al App Store o Play Store, algunas personas buscan el nombre del aplicativo y lo instala de manera distinta sin seguir la ruta correcta, y puede caer en páginas falsas”, advierte Elías Puelles. 
   
• Revisar qué es lo que se está autorizando, antes de instalar un aplicativo. Hay aplicaciones que son maliciosas, y si se aceptan las condiciones de uso sin leer los términos, cuando se instalan pueden acceder por ejemplo a la libreta de notas, tomar captura de pantalla, entre otros. 
   
• Verificar periódicamente cuántas líneas se tienen registradas a su nombre. Esto lo puede validar a través de la página web del Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel), con el servicio “Checa tus líneas”. 
   
• No comprar chips a vendedores ambulantes. Osiptel advierte que ello podría ser el inicio de una serie de consecuencias indeseadas, como la utilización de datos personales y huella digital del usuario para ser estafados o ser víctimas de fraudes bancarios. 

CUIDADO. Es recomendable verificar cuántas líneas se tienen registradas a su nombre, para identificar posibles suplantaciones de identidad. 

Imagen: Osiptel

Sobre las contraseñas y datos personales 

• No tener contraseñas fáciles de adivinar para acceder a los dispositivos o aplicativos financieros. La Asociación de Bancos del Perú (Asbanc) recomienda crear una contraseña que no contenga datos como el nombre o fecha de cumpleaños, ya que podría ser fácilmente descifrable. “Recuerda además cambiar la contraseña regularmente. Los expertos recomiendan hacerlo cada 3 meses”, apunta. 
   
• No entregar a nadie su información personal, menos las asociadas a sus claves. “Tu banco, caja o financiera nunca te va a llamar para solicitar tu información personal. Tampoco te enviará correos, enlaces o mensajes para ello”, enfatiza Asbanc. 
  
  La asociación de bancos recuerda que los ciberdelincuentes siempre buscan el modo de acceder a los datos personales de la víctima para acceder a sus cuentas. Entre las modalidades más comunes están el envío de links que piden información como el usuario y contraseña, o pueden hacer una llamada haciéndose pasar por alguna entidad, o pueden enviar mensajes de texto SMS, entre otros.

Sobre el uso responsable de las cuentas financieras 

• Se debe tener claro que las entidades del sistema financiero no mandan correos electrónicos que pidan las claves. “Si ven eso, sospechen que es un phishing. Igual lo mismo para cualquier suscripción de plataformas digitales como Netflix, Amazon, donde uno tiene también gestión de recursos”, advierte el especialista en temas digitales, Erick Iriarte. 

• Digitar directamente la dirección URL de la página web del banco al que quiere acceder. No debe colocar el nombre en el buscador porque pueden aparecer páginas falsas que confundan al usuario, enfatiza Iriarte, quien agrega que tampoco se recomienda acceder siguiendo el link que terceros le han enviado en un correo electrónico o SMS. 
  
  “Hay un candadito en la parte superior de la página web, que es súper útil, es muy relevante que aparezca porque es una guía, y hay un botoncito con información relacionada. Pero eso no basta, porque con el transcurrir del tiempo los ciberdelincuentes también se han innovado para ese tipo de detalles”, alerta Iriarte Ahon. 

• Ser prudente y cuidadoso respecto a la cantidad de tarjetas que maneja. En caso de tener varias tarjetas, el Indecopi recomienda revisar que siempre las tenga en su poder y repasar los estados de cuentas, para verificar que todos los consumos son los que en efecto el usuario ha realizado.
   
• Configurar las opciones de compra segura de las tarjetas. La Superintendencia de Banca, Seguros y AFP (SBS) recomienda deshabilitar la opción de compra por Internet en caso no las necesite, y resalta que esta puede volver a habilitarse en el momento que el usuario lo desee. Esto también aplica para compras en el extranjero o retiro de efectivo. 
   
• Activar las alertas de consumo. Con ello, le llegará una notificación a su celular o un correo electrónico cada vez que se realice una operación con su tarjeta de crédito o débito. Esto permitirá identificar si hay algún consumo o transacción que no ha sido realizado por el usuario. Y, en caso identifique algún consumo no reconocido, debe reportarlo inmediatamente a su banco, caja o financiera.

Sobre el uso de plataformas virtuales 

• No abrir correos electrónicos con archivos adjuntos que uno no ha requerido. “A veces te mandan un correo diciendo ‘acá te mando las fotos de la fiesta’ y uno no va a una fiesta hace años, pero hace clic en la foto y termina infestando su máquina con un archivo que instala un troyano o alguna afectación similar”, advierte Iriarte. 
   
• Ser cuidadoso con quiénes comparte en redes sociales. Se recomienda tener solo a sus amigos y conocidos identificados. “Hay gente que tiene 5.000 amigos en Facebook y ni los conoce. Lo máximo que uno debe tener es a sus amigos”, precisa Iriarte. 
   
• Verificar a dónde redireccionan los enlaces que les llega al correo o SMS. Asbanc resalta que siempre se debe revisar bien el remitente del mensaje y asegurarse que provenga de la dirección oficial de la entidad financiera. “Mantente atento a errores ortográficos, logotipos que no coinciden y sobre todo a mensajes de alerta que te solicitan tomar acción inmediata, diciendo que hay algún problema con tu cuenta o que tienes un dinero por cobrar”, enfatiza.
  
  El gremio advierte que si el usuario recibe una comunicación sospechosa, se podría tratar de un ciberdelincuente. Recuerda que, ante cualquier duda, lo mejor es comunicarse directamente con su banco, financiera o caja a través de sus canales oficiales. 

PRECAUCIÓN. Los especialistas recomiendan digitar directamente la ruta del URL de la página web del banco al que se quiera acceder, para evitar ser dirigidos a páginas falsas. 

Imagen: OjoPúblico

¿A dónde denunciar? 

Pese a las recomendaciones, hay situaciones que escapan de las manos del usuario, ya que termina siendo víctima de robo digital, donde el delincuente le roba miles de soles de sus cuentas de ahorros o solicita créditos. 

• Si sufrió el robo del celular. Debe comunicarse inmediatamente con su operadora móvil para bloquear su línea. La empresa está en la obligación de bloquear todo el paquete, es decir, el equipo, la línea y el chip, explicó Tatiana Piccini, directora de Atención y Protección del Usuario del Osiptel. Este trámite puede realizarse en las agencias de las entidades financieras o mediante sus canales virtuales. 
  
  Luego, tendrá que acercarse presencialmente a una agencia de su operadora para solicitar la reposición del chip. Se pasa por un proceso de verificación de identidad biométrica, con el DNI y la firma del titular. 
  
  Los especialistas recomiendan bloquear también la tarjeta afiliada a los aplicativos móviles instalados en el celular robado, así como los accesos asociados a los canales digitales habilitados para consumos u operaciones en línea. Esto con el fin de minimizar el riesgo de robos u operaciones fraudulentas.
   
• Si sufrió el robo o hurto de sus tarjetas. Reporte inmediatamente la pérdida o robo de su tarjeta y solicite un código de bloqueo, tanto de la tarjeta como de todos los canales vinculados a sus cuentas financieras. 

La entidad financiera debe responder el reclamo por operaciones no reconocidas en un máximo de 15 días hábiles. 

Reclamos y denuncias por operaciones no reconocidas 

• Ante la entidad financiera. En caso de ser víctima de operaciones no reconocidas, el usuario debe presentar su reclamo ante su entidad financiera a través del Libro de Reclamaciones. Este debe responder en un plazo máximo de 15 días hábiles, sin prórroga. 
  
  Asimismo, desde la Asociación de Bancos del Perú (Asbanc) informaron que cuentan con una Defensoría del Cliente Financiero, donde el usuario puede presentar —mediante la plataforma web— un reclamo si es que no se logró resolver con las entidades financieras asociadas. A través de esta iniciativa se han resuelto más de 20.000 reclamos. 
  
  “Nuestro propósito es ayudar al público, atendiendo sus consultas, brindando orientación financiera y en todo momento consejos útiles para que estén seguros y prevengan fraudes”, apuntaron. 
   
• Ante Indecopi. Cuando un usuario no reconoce un consumo realizado en su cuenta de ahorros o de crédito, a la par de presentar su reclamo ante la entidad financiera, puede hacerlo ante el Indecopi. 
  
  Presentar un ‘reclamo’ en Indecopi es gratuito y puede hacerse de manera presencial en las oficinas de la entidad, mediante su plataforma “Reclama virtual” o a través de las líneas telefónicas (01) 224 7777 para Lima y el 0 800 4 4040 para regiones. También mediante el correo electrónico sacreclamo@indecopi.gob.pe. 
  
  En primera instancia se presenta un ‘reclamo’, donde el regulador busca la conciliación entre las partes. Y, si en esa etapa no se llega a un acuerdo, la siguiente instancia es presentar una ‘denuncia administrativa’, que tiene un costo de S/36, explicó Evelyn Roa, funcionaria del Indecopi.
  
  Las ‘denuncias’ pueden ser dirigidas al Órgano Resolutivo de Procedimientos Sumarísimos (OPS) para aquellos hechos menores a 3 Unidades Impositivas Tributarias (UIT), equivalente a S/14.850. Acá se busca brindar al ciudadano una alternativa rápida en la protección de sus derechos, el cual se resuelve en un plazo no mayor 30 días hábiles. 
  
  La otra vía es ante las Comisiones de Protección al Consumidor (CPC) que evalúa los hechos, cuya cuantía sea mayor a las 3 UIT. Estos son órganos administrativos competentes y especializados para tramitar denuncias por presuntas infracciones a las disposiciones contenidas en el Código de Protección y Defensa del Consumidor para montos mayores. 
  
  Roa Quispe explica que el medio probatorio clave que debe presentar el consumidor es la transacción de la operación que no reconoce, ya sea con la copia del estado de cuenta, un reporte de movimientos o alguna captura de pantalla de su aplicativo móvil. 
  
  “Es un medio probatorio que confirma la realización de la operación porque, con eso, lo que le corresponde a la entidad financiera es acreditar que esa operación se realizó conforme las medidas de seguridad que establece la normativa del sector, emitida por la SBS. Si la empresa no prueba, la denuncia es declarada fundada; y si la acredita, es declarada infundada”, especificó la funcionaria. 
  
  Las sanciones impuestas por Indecopi van desde una amonestación hasta multas de máximo 450 UIT. En lo que va del 2023, la multa mínima aplicada por operaciones no reconocidas fue de 0,3 UIT (S/1.485)) y la máxima fue de 23 UIT (S/113.850). 

Presentar un reclamo ante Indecopi es gratuito. El trámite por denuncia administrativa tiene un costo de S/36. 

• Ante la operadora móvil y competencias del Osiptel. Si fue víctima de la modalidad SIM Swap, es decir si el usuario se quedó sin señal debido a que un tercero —mediante la suplantación de identidad— solicitó el bloqueo de su línea y busca tramitar o ya tramitó la reposición de su chip. El titular debe llamar de inmediato a su operadora móvil, la cual está obligada a suspender el servicio que ya estaría en manos del delincuente. 
  
  La empresa operadora debe entregarle la siguiente información:
  
  - El detalle de la fecha y hora de la solicitud o contratación y el lugar de presentación de la solicitud o contratación. La entrega de esta información es en el mismo momento de la atención.
  
  - Copia del mecanismo de contratación o solicitud correspondiente al trámite cuestionado. La entrega de esta información se realiza a pedido del usuario y es en el plazo máximo de 5 días hábiles. Los documentos proporcionados deben contar con sello, distintivo o firma de la operadora, según corresponda.
  
  Todo reclamo se ingresa siempre primero ante la operadora móvil. Si el usuario no está de acuerdo con la respuesta de la empresa, puede apelar dentro de los 15 días hábiles de notificada la respuesta para que sea evaluado por el Tribunal Administrativo de Solución de Reclamos de Usuarios (TRASU) del Osiptel.
  
  “El TRASU resolverá la apelación en segunda y última instancia, y con ello termina el procedimiento administrativo. Si el usuario no está conforme con dicha resolución, tiene la facultad de acudir a la vía judicial para poder accionar”, precisa el Osiptel.
   
• A nivel penal. Los especialistas resaltan que también se debe denunciar ante la Fiscalía o la policía. Para ello, no se necesita un abogado. 
  
  El especialista en ciberdelitos, Ricardo Elías Puelles, explica que si es un delito informático en Lima se presenta la denuncia en la Fiscalía Especializada en Ciberdelincuencia o en la División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía Nacional del Perú (PNP). Si el suceso se da en regiones, el abogado recomienda presentar directamente en la Fiscalía, y no en la comisaría. 
  
  “Pueden hacerlo en la policía, pero los fiscales son los que finalmente van a decidir con qué grupo policial van a investigar. No deben denunciar en simultáneo sino generan dos carpetas, en cualquier tipo de delito. Es más, la Fiscalía tiene una web para denuncias virtuales”. 
  
  Asimismo, enfatiza que luego de presentar una denuncia, la persona afectada debe cumplir con acudir a declarar para que brinde datos y demás, porque sino el caso no avanzará. 
  
  Elías Puelles recomienda además que se debe denunciar al mismo tiempo tanto a nivel administrativo, en el Indecopi, como a nivel penal, en la Fiscalía, para recabar las pruebas completas y evitar trabas en el proceso. Por ejemplo, si pasan semanas o meses luego de iniciada la investigación, es probable que el banco o la entidad involucrada se niegue a entregar los videos alegando que ya no los tiene.
  
  “Un problema es cuando el usuario presenta su reclamo en la vía administrativa y no en la vía penal. Cuando la vía administrativa termina y no le dan la razón recién se van a la vía penal, y ya ha pasado mucho tiempo, y no se pueden recuperar todas las pruebas, como las cámaras de seguridad de ser el caso”, advierte el especialista.