DANIEL BILBAO
Robo de Identidad - ¡Yo soy yo! ¿Por qué esto es tan difícil de demostrar?
Hoy en día es incómodo para el usuario demostrar su identidad y se hace cada vez más fácil para agentes fraudulentos hacerse pasar por otra persona. Un análisis de Daniel Bilbao*.
Quién soy es un concepto tan propio y a la vez tan abstracto que es extraño pensar en la necesidad de establecer la identidad de una persona. Sin embargo, este ha sido un desafío para la sociedad desde sus orígenes: retratos, huellas digitales, ADN, registros dentales son algunos de los métodos utilizados para lograr el objetivo con diferentes grados de éxito. La sociedad actual necesita un nuevo método que solvente las debilidades de los actuales y al mismo tiempo ofrezca agilidad.
Cada vez que llamo a servicio al cliente y verifican mi identidad me siento como en el mundo de lo absurdo. Una persona desconocida me hace tres preguntas y con tan escasa información, concluye que yo soy quien digo ser: ¿Tiene usted una cuenta x con el banco x desde el año x? o ¿su dirección de domicilio es o ha sido calle xx con carrera xx apto xxx?).
Cargo la vergüenza de haber fallado muchos exámenes en mi vida y no me puedo imaginar la vergüenza de fallar un examen de identidad. Pero no dejo de pensar que el proceso carece de sentido y en lugar de añadir seguridad, abre una vulnerabilidad al sistema, una de la que no era tan consciente hasta que fui víctima de robo de identidad.
¿Cómo se roban mi identidad?, ¿cómo alguien se hace pasar por mí? Y más aún, ¿cómo es que los asesores le creen? Cuando uno piensa en robo de identidad, generalmente se imagina a un maestro del disfraz que aprende a hablar y actuar como su víctima y que falsifica documentos meticulosamente. La realidad es mucho más sencilla y, por desgracia, mucho más efectiva. La razón es que los ladrones aprovechan varias vulnerabilidades del sistema:
- Interrogadores entrenados para ayudar: los asesores que hace las preguntas están entrenados para ayudar, porque ese es su trabajo: facilitarle la vida al usuario. El problema es ayudar a la persona equivocada.
- Escasez de información: no es lo mismo hacerse pasar por alguien frente a sus amigos, sus compañeros de trabajo o frente a un operador de telco o un banco. Lo primero es casi imposible, lo segundo muy difícil y lo último extremadamente fácil. Las preguntas de verificación de identidad están acotadas por la información con la que cuenta la empresa, en ocasiones se limita a la dirección y teléfono de la persona.
- Dificultad de acceso a la información: las empresas de servicios intentan reducir las barreras de entrada a los clientes, evitando el papeleo y reduciendo los requisitos de acceso a sus servicios. Esto a veces quiere decir que conocen menos a sus clientes.
Entonces, ¿cómo hacen los ladrones? Utilizan la información de acceso público para crear una lista de posibles víctimas. Sé lo que estás pensando: ¿Qué, mis datos no están protegidos por el Habeas data? Sí y no: el manejo de su información es un asunto que todas las empresas se toman en serio porque la ley las obliga. Sin embargo, existen tres tipos de información: pública, semiprivada y privada. La pública debe ser accesible mientras que la privada y semiprivada debe estar protegida.
El dato semiprivado atañe no solo al dueño o titular del dato, sino también a un sector o grupo de personas, como es el caso del dato financiero y crediticio. Finalmente, el dato público es calificado como tal ya sea por la ley o la Constitución Política, o por exclusión al no pertenecer a ninguna de las categorías anteriores. La Ley 1266 de 2008, o Ley de habeas data sectorial, clasifica los datos personales según el interés que se pueda tener en ellos. Esta división le otorga el carácter de privado al dato que “por su naturaleza íntima o reservada solo es relevante para el titular”. El ejemplo por excelencia del dato personal público es el estado civil. También lo son aquellos datos contenidos en documentos públicos que no estén sometidos a reserva. ¿Mi dirección? Pública ¿Mi número de teléfono? Público.
El siguiente paso de los ladrones varía, pero en general (y en mi caso particular) es por medio de teléfono: con la información, el ladrón llama haciéndose pasar por un asesor de un banco, operador de telecomunicaciones y, con la excusa de una actualización de información, verifica que su información sea correcta e incluso puede que pregunte información que le haga falta.
Con esta información pueden contratar servicios a su nombre, abrir cuentas fraudulentas o acceder a créditos. Generalmente, realizan estos procesos por vía telefónica o por medio de internet, (en mi caso contrataron servicios de telecomunicaciones por vía telefónica). La razón por la que evitan medios presenciales es porque no cuentan con el documento de identidad en físico, pero sí con el número. Con la información que poseen, las preguntas de verificación generalmente no son un problema.
En mi caso, me enteré del fraude porque me llamaron a decirme que el cobro de mi cuenta estaba próximo a pasar a cobro jurídico. Tuve que acercarme a las oficinas del operador de telecomunicaciones e interponer el recurso de negación de cuenta, a través del cual se pudo establecer que yo no fui la persona que solicitó el servicio y, por lo tanto, no soy acreedor a los cargos generados por concepto del consumo del mismo. La recomendación que me dieron, y la comparto con ustedes, es evitar confirmar información por teléfono, o dar información adicional, las empresas ya deberían tener toda la información relacionada con los clientes, y para realizar actualización de datos, llamar directamente a la empresa o acceder al sitio web.
Ignoro si estas cuentas pasan a ser cuentas de difícil cobro para la empresa o si esa cartera se provisiona sabiendo que no va a ser posible recuperar ese dinero. En cualquier caso, estoy seguro que es de interés del usuario tanto como de las empresas eliminar la suplantación. Entonces, ¿por qué aún no ha sucedido?
La razón es que, para tener una solución definitiva, es necesaria toda una gama de servicios y todos son críticos:
- Debe haber una plataforma de identidad donde el usuario pueda verificar por medio de reconocimiento facial, reconocimiento de voz, fotos de su documento de identidad o preguntas de validación (o todas las anteriores) que es quien dice ser.
- Para extraer las preguntas de validación, la plataforma debe acceder a toda la información disponible del usuario (sin invadir su privacidad, obviamente) con el objetivo que sea muy difícil para alguien diferente del usuario responder acertadamente.
- Por último, la plataforma debe permitir al usuario compartir toda o parte de su información con empresas o autoridades para procedimientos que así lo requieran. Lo cual exige que sea compatible con diferentes sistemas en una multitud de organizaciones.
Nuestra sociedad actual requiere una identidad digital completa, que sea fácilmente verificable para el dueño legítimo y casi imposible de suplantar, que se integre con los diferentes sistemas gubernamentales y comerciales de múltiples países y facilite la trazabilidad de antecedentes a través de fronteras jurisdiccionales para que cada persona sea realmente la dueña exclusiva de su identidad.
*Daniel Bilbao es cofundador y CEO de Truora, empresa translationamericana que opera en seis países incluido Colombia, cuya misión es resolver el fraude en toda la región. Es inversionista ángel, miembro de la junta de Frubana, y embajador de Innpulsa en Silicon Valley.