Identidad digital, ciberseguridad y las 7 lucas del confort

Para muchas personas, si leen los tres elementos del título de este artículo, tendrán un grado de conocimiento de estas palabras de menor a mayor. Así, si les pidiera que explicaran el concepto de «Identidad digital», probablemente tengan dificultades en dar una definición concreta. Por  otro lado si se les consulta por «ciberseguridad», lo más seguro que a raíz de últimos acontecimientos como hackeo del Banco Chile, tengan una noción más certera, sin embargo si consultamos por las «7 lucas del confort», el grado de conocimiento de su significado sea mayoritaria.

El problema radica cuando de un hecho conocido, como es la compensación de $7.000, como sanción a empresas coludidadas en el sobreprecio en ventas de papel confort, se suman otros elementos más crípticos, más difusos, pero tan importantes como son la ciberseguridad y la identidad digital para efectos de un correcto, oportuno e íntegro pago y cumplimiento de un acuerdo entre las empresas coludidas y el Sernac, organismo oficial que protege los derechos de los consumidores.

Sin embargo, tal como se pudiera entender, el cumplimiento de este pago  y el derecho a recibirlos, no es fácil de cumplir. Es así como se estableció que tienen derecho a esta compensación cerca de 15 millones y medio de personas, es decir, los mayores de 18 años (cumplidos al 31 de mayo de 2018) y que cuenten con cédula de identidad vigente.

Surge aquí el primer elemento que es la identidad, es decir, la forma de poder identificar a beneficiarios, para que ellos puedan exigir el recibir este dinero. Para solucionarlo, se dividió el proceso para recibir el pago en dos partes, donde los que tengan cuenta rut, cuenta corriente o chequera electrónica en el Banco Estado o sean parte del Instituto de Previsión Social (IPS), recibirán automáticamente el dinero vía transferencia electrónica. Sin embargo, cerca de 3 millones de consumidores que no forman parte de este grupo deberán ingresar a una página web destinada específicamente para inscripción de las personas, donde se indique una cuenta a depositar y todo ello dentro de un plazo de 90 días. Posterior a este plazo, una persona que cumpla con requisitos, que está en este último grupo, y que no se haya inscrito a tiempo, no obtendrá esta compensación.

Por lo mismo, y debido a que el proceso se hace en linea, es necesario que exista la debida certeza entre la correspondiente identidad de la persona beneficiada y su autorización expresa de que datos ingresados y cuenta entregada para un posterior depósito de la compensación sea efectiva y surge así la llamada identidad digital, es decir, (en palabras muy simples) la verificación en línea de que la persona es la que dice ser y que los datos ingresados son suyos.

La búsqueda de elementos para acreditar la identidad digital de una persona en internet o con sistemas digitales no es nuevo. Se usa en los bancos cuando uno por ejemplo quiere hacer una transferencia y usa una contraseña y le suma un dispositivo como digipass o tarjeta con combinaciones de números. En otros ámbitos, como compra de bonos, con el carnet de identidad y la verificación de la huella digital. Y en relación al Estado, desde hace un tiempo se ha promovido la llamada «clave única» que es una validación otorgada por el Registro Civil y con el cual se pueden hacer trámites online como sacar certificado de antecedentes o en caso de abogados, interactuar con tribunales, pues se exige utilizar la clave única (que tiene un nombre de usuario que es el rut y una contraseña). Según se informa en el registro civil, existen más de 3,5 millones de claves únicas activadas y en funcionamiento, casi la misma cantidad de personas que tendrán que acreditar su identidad en sitio web que Sernac puso a disposición y que corresponde a www.micompensacion.cl.

Sin embargo, existiendo una herramienta de gobierno para poder determinar la identidad digital de los beneficiarios, llama poderosamente la atención que SERNAC no quisiera utilizar esta fórmula y usara actualmente una que es absolutamente vulnerable. Así, para poder inscribirse sólo es necesario saber el rut de una persona y su fecha de nacimiento. Luego de esto, se exige el número de serie de carnet de identidad. Ya con estos datos simplemente hay que colocar una cuenta de banco y se deposita. A nuestro entender, pretender que con estos elementos se configura la identidad digital de una persona, es no entender el significado de identidad ni menos en el entorno digital, toda vez que nadie más que el que ingresa los datos certifica que el que lo hace es quien dice ser. No existe un tercero que valide, acredite o certifique la identidad del que ingresa esos datos.

Es en este punto que surge el segundo elemento y que es la ciberseguridad. Así, en términos sencillos, podríamos definirla como sinónimo de seguridad en la información. La ciberseguridad busca, por tanto, proteger la información digital en los sistemas interconectados. Está comprendida dentro de la seguridad de la información.

El problema radica, en primer lugar, en que actualmente existen muchas formas de obtener esta información de personas y suplantar la identidad por un lado. Fotocopias de nuestro carnet (donde sale rut, fecha de nacimiento y números de serie) están disponibles en muchos lugares… notarías cuando se protocolizan datos, en solicitudes de créditos, al sacar planes telefónicos, cuando se sacan tarjetas en multitiendas… incluso cuando uno va a edificios privados o incluso de gobierno, es necesario dejar el carnet en conserjería o portería, lo que podría generar que se obtengan esos datos fácilmente.

Eso quiere decir, que al ingresar datos de terceros y colocar una cuenta de banco común para recibir los dineros, existiría una suerte de «suplantación» con datos verdaderos, pero con destino de recursos distintos, afectando a los inscritos y beneficiando al que maliciosamente redirige los fondos a otra cuenta. Sería ésta, una brecha de seguridad del cual SERNAC nada a dicho. Es una hipótesis muy fácil de ocurrir y no existe alguna medida que pueda revertir esta situación.

Sin embargo, en segundo lugar, al tener una página web que concentre tal cantidad de información sensible (nombre, rut, números de serie de carnet de identidad y cuentas de bancos), este sólo hecho ya lo define como un objetivo preciado por ciberdelincuentes o hackers que quisieran obtener estos datos, más que redireccionar los fondos a depositar de $7.000 del confort. De hecho, este tipo de información en mercado negro de internet es muchísimo más valiosa, considerando que la web concentraría en su proceso final ideal, más de 3.5 millones de datos de chilenos (e incluso cierta categoría de extranjeros), vivos, mayores de 18 años.

Y justamente este escenario de relevancia en ciberseguridad ya ha demostrado su inseguridad. Hace unas semanas atrás, el sitio web www.micompensacion.cl fue HACKEADO por el colectivo Anonymous Chile, quienes informaron vía twitter de modificación del sitio web y en donde además informaron que habían anunciado esta intervención señalando la existencia de vulnerabilidad de la plataforma y que los responsables no hicieron nada. Es altamente preocupante porque este hecho pasó desapercibido por las autoridades que nada dijeron sobre el hecho ni la intervención (que duró algunas horas) ni tampoco han mencionado a qué nivel de acceso tuvieron los atacantes, es decir, si sólo modificaron la web o tuvieron acceso a la información recopilada. Tampoco han dicho que solución dieron y si con estos cambios aseguran que no volverán a ser hackeados.

Es altamente preocupante, por tanto, que al utilizar herramientas tecnológicas para una compensación judicial, en donde debería existir plena identidad digital de los beneficiarios, y una absoluta ciberseguridad en información, tratamiento y control de los datos, nada de ello pareciera importar. No se utilizó la «clave única» para validar la identidad, y en principio, la plataforma web no contaba con todas las medidas de seguridad para no sufrir alteraciones.

Sin embargo, como guinda de la torta, surge un tercer problema y que corresponde al tercer elemento del título de este artículo y es  la certeza de recibir las 7 lucas del confort propiamente tal. Esto, porque lo relevante es que la única forma de recibir estos fondos por personas que están en grupo que no reciben automáticamente los fondos, es inscribiéndose (con todas las incertezas antes mencionadas) en el sitio web que sernac ha dispuesto y que, en teoría es bastante sencilla de recordar, por ser asociada a la palabra base de los fondos y que es COMPENSACIÓN. Así, se ideó que el sitio web sea www.micompensacion.cl

Es así que como no fuese suficiente, acá radica finalmente otra tremenda falta de seguridad, que roza en que las autoridades de gobierno estén al borde de descuido culposo o indiferencia absoluta respecto al deber de garantizar el cumplimiento íntegro de la compensación. Esto, porque SERNAC registró en NIC Chile (entidad que administra los nombres de dominio punto cl), el sitio web www.micompensacion.cl , tal como se lee. Sin embargo, es común que terceros registren ciertos nombres de dominio que sean fonéticamente similares para engañar a las personas y redirigirlos a una web falsa o con otro contenido diverso. Entonces es un deber de los responsables de registrar sitios similares o estar atentos a registros que pudieran confundir a los usuarios y reclamar por vías que existe como ello en la entidad que registra dominios.

En este caso, un particular, a vista y paciencia de los responsables, se registró por un tercero ajeno a la administración del Estado el dominio www.micompensación.cl y que lleva actualmente a un sitio que fomenta las inversiones digitales. Así, si uno lee y pronuncia fonéticamente la web oficial www.micompensacion.cl, no existe ninguna diferencia con www.micompensación.cl lo que puede generar hasta los más experimentados una confusión. La única diferencia que existe entre el registro oficial y el del tercero es un acento ( en la última «o»). Así, si una persona escuchara sobre el sitio y escribiera correctamente la palabra, es decir, compensación (con acento), lo dirigiría a la web del tercero que NADA tiene que ver con la web del sernac.

¿Qué ocurriría si una persona quisiera registrarse en la web del sernac y por escribir correctamente compensación (con acento) creyera que es la web oficial y no supiera como hacerlo, perdiendo el derecho a recibir los $7.000 del confort? ¿o si creyera que ese dinero de los $7.000 son para realizar transacciones financieras digitales y esperara ganancias de la misma? ¿qué sucedería si el tercero replicara la web del sernac y recopilara los datos en forma fraudulenta y sin que nadie se diera cuenta que es una web espejo?

Lo más anecdótico es que la web www.micompensación.cl , la con acento, la del tercero, aún está funcionando y no ha sido impugnado su registro por autoridades de gobierno, lo que podría demostrar a muchos que, sumándole la falta de ciberseguridad y el desconocimiento sobre la importancia de la identidad digital, probablemente a estas autoridades le importe nada que las personas reciban finalmente las 7 lucas del confort.

(artículo publicado en Estado Diario)

.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio