SEMINARIO: LA CONTRATACIÓN A TRAVÉS DE INTERNET

Transcripción

1 SEMINARIO: LA CONTRATACIÓN A TRAVÉS DE INTERNET Organizado por el Centro Europeo del Consumidor en España Córdoba, 16 y 17 de Noviembre de 2006 PONENCIA: LA PROTECCIÓN DE LA IDENTIDAD DE LOS CONSUMIDORES EN LA CONTRATACIÓN DE SERVICIOS FINANCIEROS. Fabián Zambrano Viedma Responsable del Servicio de Prevención del Fraude ASNEF Agradezco al Centro Europeo del Consumidor en España la invitación que me ha hecho, en calidad de Responsable del Servicio de Prevención del Fraude de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), para exponerles en este Seminario lo que las entidades financieras estamos haciendo en estos momentos en España, para proteger la Identidad de los Consumidores en la contratación de servicios financieros. La solución que hemos diseñado para esta finalidad, constituye una novedosa propuesta de Prevención del Fraude para las Entidades Financieras y para los Ciudadanos, que hemos fundamentado en el sistema de garantías que regula la legislación española sobre protección de datos de carácter personal. Creo que esta solución podría ser también un instrumento válido para los Consumidores de otros países europeos, por lo que espero de la representación en España del Centro Europeo, que la dé a conocer en las reuniones internacionales en las que se trate este problema, por si pudiera también ser de utilidad. Quisiera comenzar mi exposición con una constatación y es, que el Sector Financiero siempre ha sido atacado mediante falsedades en la identificación y en la solvencia, tanto en las operaciones financieras de corte tradicional, como en las operaciones que se realizan hoy a través de las nuevas tecnologías de la información y las telecomunicaciones (TIC). Con todo, lo que realmente agrava la situación en estos momentos, es que los ataques más importantes no proceden de delincuentes individuales, sino de grupos organizados que actúan estratégicamente para engañar a los departamentos de análisis de riesgos de bancos, cajas de ahorros y establecimientos financieros de crédito. Como este Seminario trata de la contratación a través de Internet, se espera que mi exposición se centre fundamentalmente en el fraude financiero que se 1

2 produce a través de este medio de comunicación por el que ya han apostado decididamente todas las entidades financieras. El fraude a través de Internet, hoy es una actividad rentable y poco peligrosa para los grupos de crimen organizado. Con todo, espero que esta situación no dure mucho tiempo, porque las Entidades Financieras estamos haciendo en todo el Mundo un gran esfuerzo técnico para ofrecer la máxima seguridad a nuestros Clientes en sus operaciones on line y para que los autores de los fraudes a través de las nuevas tecnologías puedan ser identificados y puestos a disposición de la Justicia. Las dificultades para la persecución de los fraudes en Internet radican en: - La insuficiencia de su regulación legal. - Las dificultades técnicas que conlleva su investigación - Las lagunas de formación en esta materia específica que aún existen en los departamentos de seguridad de las Entidades, en la Policía y en la Judicatura, aunque hemos de reconocer que en los últimos años se ha avanzado mucho en el apartado de formación. - El carácter trasnacional de estos delitos y por tanto, en la necesidad irremediable de tratar con jurisdicciones diferentes para avanzar en la vía penal. Esta es la mayor dificultad de todas las enumeradas. Estoy convencido que la contratación a través de Internet será una realidad pujante, cuando las Partes contratantes puedan identificarse plenamente en sus operaciones comerciales. Gran parte de los fraudes financieros tienen como base el engaño en la identidad. Los delincuentes procuran proveerse para operar en Internet con identidades robadas y/o falsificadas. Los modus operandi de los delitos que en la actualidad se cometen en Internet son variados. Como no tengo mucho tiempo de exposición y estoy seguro que todos los presentes los conocéis bastante bien, simplemente los enumeraré, aunque como anexo dejo un esquema con los que considero que proliferan más. Si os interesa ampliar esta materia, os animo a que lo hagáis a través de la Red, puesto que hay mucha información accesible sobre la misma. - Apoderamientos de una cuentas (Account takeover). - Robos de identidad - Fraudes con tarjetas o Robo y Hurto o Skiming o Carding (Internet) o Autofraude. Bingos virtuales o EMV, IC Card, Smart Card, Chip and PIN o Operaciones on-line y off-line - Cartas Nigerianas - Phishing y Vishing (voz-ip) - Phaming - Keyloggers. Pulsación e imágenes. - Utilización de Mulas para mover los fondos. 2

3 - Amenazas condicionales, chantajes, (DoS, encriptación de datos...) - Fraude Interno: pre-employment screening y cooperación con el Crimen Organizado. De todas las modalidades señaladas, sólo voy a centrarme en una y es en la que en el ámbito anglosajón se conoce como Robo de Identidad, aunque el término más correcto en español sería el de Usurpación de Identidad. En esta mañana, con seguridad grupos de delincuentes están atacando de manera simultánea a varias entidades financieras en todo el territorio español, utilizando las mismas identidades y solvencias falsificadas. Saben que el Sector Financiero, en materia antifraude, sufre una atomización informativa y que también existe una fatal descoordinación operativa entre los Cuerpos de Seguridad y los Juzgados, por lo que lógicamente se están beneficiando de esta debilidad del sistema. La actividad financiera que se está viendo esta mañana más afectada por la acción de la criminalidad es la que se dedica a la financiación del consumo. La constatación de esta realidad fraudulenta en las operaciones de financiación del consumo es la ha movido a nuestra Asociación a crear en el año 2002 el Servicio de Prevención del Fraude que yo dirijo. Este Servicio tiene como misión fomentar la coordinación operativa de nuestras entidades en la prevención y en la reacción contra el fraude. Es, por tanto, un observatorio de la actividad fraudulenta que sufre el sector financiero que asesora técnicamente a la Comisión para la Prevención del Fraude, en la que están representadas las entidades pertenecientes a la Asociación. Durante estos años hemos desarrollado nuevos instrumentos de lucha contra el fraude para las entidades financieras y hemos acrecentado la colaboración con las Autoridades públicas. Estamos convencidos que sólo mediante la coordinación operativa entre entidades y la colaboración decidida con las Instituciones Públicas podemos frenar la actual criminalidad que ataca al Sistema. Hemos suscrito Convenios de Colaboración con el Ministerio del Interior, con las Consejerías de Interior de los Gobiernos catalán y vasco, y con el Consejo Superior del Poder Judicial. Y hemos conseguido concienciar a todo el Sector Financiero sobre la gravedad del problema. Permitidme algunas cifras para que podáis evaluarlo: En el año 2005 el fraude en la financiación del consumo en España ascendió de forma estimada a 260 millones de euros, un 16% más que en el año 2004, descontando el fraude que hemos podido evitar con nuestras políticas de Prevención. 3

4 Las entidades que están integradas en ASNEF, en 2005, estimamos que sufrieron 76 millones de euros de fraude, de los que más del 90 por ciento del total afectó a la financiación de automóviles, con una media por operación de unos euros. Los grupos organizados de delincuencia que trabajan para defraudar a las entidades financieras, tratan de engañarlas utilizando: 1. Identidades verdaderas suplantadas a sus verdaderos titulares 2. Identidades falsas creadas a partir de los documentos auténticos en los que modifican parte de los datos. 3. Identidades totalmente inventadas. 4. Igualmente están utilizando a personas marginales que utilizan su propia identidad por un precio. En todos los casos, estas organizaciones criminales dotan a los estafadores con identidades falsas y les fabrican igualmente documentaciones de solvencia necesaria también falsos. En los casos en los que se utilizan a personas marginales con su propia identidad, también les falsifican solvencias falsas. Las Entidades Financieras españolas, hasta este año, sólo podían ceder a un Fichero Común la información negativa de solvencia, pero no los datos de fraude, por lo que los grupos criminales organizados estaban atacando de forma simultánea a varias Entidades en la misma o distinta ciudad, ocasionando importantes perjuicios a las empresas y creando problemas muy serios a los verdaderos titulares de las identidades suplantadas. La dispersión de las denuncias está haciendo que la actividad policial y judicial resulte ineficaz porque los fraudes al consumo, al ser normalmente de pequeña cuantía, por regla general no se coordinan de manera centralizada y por tanto cada caso, aún siendo conexo con otros, resulta investigado de forma dispersa, lo que lleva a investigaciones paralelas entre diferentes unidades policiales y diferentes juzgados con el consiguiente despilfarro de recursos para las administraciones públicas, para las empresas victimizadas y sobre todo, está causando graves daños en su honor y patrimonio a los verdaderos titulares de los documentos de identidad perdidos o sustraídos. Según las estadísticas oficiales del Cuerpo Nacional de Policía para el año 2003, los Documentos Nacionales de Identidad extraviados en España para ese año fueron y los sustraídos ; es decir, el total de documentos perdidos y sustraídos en el año 2003 fueron Los pasaportes españoles perdidos o sustraídos en ese mismo año fueron Si a este número unimos también las tarjetas de residencia de extranjeros perdidas o sustraídas y de las que no poseo datos, podemos pensar que en ese año cerca de millón y medio de documentos de identidad españoles pudieron ser objeto de compraventa ilegal en los mercados negros del crimen. Y sólo estoy referenciando las estadísticas del Cuerpos Nacional de Policía, por lo que si tuviésemos datos concretos de las estadísticas de documentos 4

5 perdidos y sustraídos de la Guardia Civil, los Mossos d Esquadra y Ertzaintza, estas cantidades aún serían mayores. Si esto sucedió en el 2003, qué es lo que estará pasando en el 2006 en donde se ha incrementado los problemas de delincuencia venida del exterior. Con estas cantidades de documentos perdidos y sustraídos en manos de la delincuencia podemos muy bien comprender la gravedad de este problema y de lo que va a significar en el futuro para un correcto funcionamiento de la actividad financiera. El Sistema Financiero es una estructura muy eficiente si funciona con ciudadanos perfectamente identificados, pero es muy vulnerable si en el Sistema se introducen los delincuentes con identidades falsas. La actual situación está suponiendo un grave daño para las empresas financieras y por tanto para el conjunto de la actividad crediticia. Pero también para la Administración pública porque tiene que dedicar parte de sus recursos escasos, policiales y judiciales, a investigaciones que llegan con información insuficiente, por lo que quedan en muchas ocasiones sin esclarecer. Pero a mi juicio, el principal problema lo están sufriendo los Ciudadanos a los que se les suplanta la identidad porque están siendo victimizados de la forma más injusta. Aunque hayan denunciado en su momento la pérdida o sustracción de sus documentos identificativos, la suplantación de su identidad en las operaciones financieras o comerciales les causa daños en su honor y en su patrimonio que a veces son muy difíciles de reparar: - Citaciones policiales y judiciales que les causan quebrantos personales y profesionales - Molestias en las fronteras o en los controles de seguridad de hoteles cuando viajan. - Privación de acceso al crédito en el sistema financiero puesto que sus nombres, sin ellos conocerlo, pasan a formar parte de los ficheros de morosidad. Desgraciadamente en España hasta este año no existía ninguna solución, pública o privada, para que los ciudadanos pudieran preservar su identidad contra operaciones fraudulentas en el sistema financiero. Les informo que desde enero la solución existe. Ha sido puesta en funcionamiento por las propias entidades financieras a través del SERVICIO VERAZ, en el que se van integrando poco a poco todas las entidades financieras. Y les puedo asegurar que en el tiempo que lleva funcionando está demostrando su utilidad para los Ciudadanos y las Entidades. Este Servicio está abierto a todas las entidades financieras aunque no pertenezcan a la Asociación, para que se respete así la Legislación sobre Defensa de la Competencia. 5

6 Los detalles sobre su estructura, funciones y garantías jurídicas pueden conocerlos entrando en la página Web del mismo: El Servicio está compuesto por tres Ficheros que pueden ser alimentados de forma automática y manual, y que generan alertas cuando son consultados por las empresas. Los detalles de la información que contienen sólo puede ser visualizado por los departamentos de la empresa especializados en prevención del fraude, con el fin de que la información se utilice respetando perfectamente su privacidad. En cada empresa integrada en el Servicio existe una persona que vela internamente para que se cumpla en todo momento el código deontológico o reglamento de los ficheros, cuyo uso está controlado mediante una Comisión y supervisado por la AEPD. Cada uno de los tres ficheros tiene su propia información. Uno de ellos, denominado VERAZ-FODI, es un fichero basado en la reciprocidad y se alimenta por todas las entidades a partir de los datos incongruentes obtenidos del análisis de sus propias operaciones financieras. La cesión de los datos al fichero tiene que estar justificada ante la AEPD mediante un expediente justificativo que contiene la investigación interna efectuada para comprobar la veracidad de los datos, así como los documentos de ejercicio de derechos que determina la legislación española de protección de datos. El segundo Fichero se denomina VERAZ-SOCIEDADES que se alimenta de fuentes públicas, Borme e información judicial que alerta sobre empresas en situación de quiebra, extinción, inactividad, etc. Y el tercero, denominado VERAZ-PERSUS, que es el que las Entidades Financieras han puesto al servicio de todos los Ciudadanos que quieran Autoincluirse en los casos de pérdida o sustracción de su documentación y quieran preservar así su identidad dentro del sistema financiero. De esta manera previenen conductas perjudiciales para ellos y su patrimonio derivadas de la suplantación de su personalidad en la realización por terceros de operaciones crediticias, obtención de tarjetas de crédito, préstamos personales, apertura de cuentas bancarias falsas, operaciones de tele-venta (compras no presenciales), y otras muchas otras actividades delictivas. Este Fichero es gratuito para los Ciudadanos, y se puede obtener más información a través de Internet en la dirección Web: Cada Ciudadano podrá Autoincluirse en el Fichero de las siguientes formas: 1. Autoinclusión directa a través del gestor de la plataforma, tal como se explica accediendo a En estos momentos estamos trabajando con los Cuerpos policiales para que se facilite a los Ciudadanos la Autoinclusión cuando se acerquen a las Oficinas de Denuncias o Departamentos de Documentación, ya sea para denunciar la pérdida o sustracción de sus documentos de identidad o para renovarlos. Otra vía de inclusión directa serán las propias entidades 6

7 financieras, que podrán recoger la Autoinclusión de sus clientes y ofrecerles así un nuevo servicio. 2. Autoinclusión indirecta a través de vía postal. Estamos trabajando para que en las Oficinas de atención a los consumidores se informe a los Ciudadanos de la existencia de este Fichero cuando acudan a ellas por problemas derivados del Robo de Identidad. 3. Inclusión por tutores legales a través de los medios anteriormente referenciados: Padres, familiares con representación legal y entes públicos responsables de personas dependientes. Para terminar quiero hacer una reflexión sobre los aspectos del Servicio que afectan a la privacidad de los datos y que creo son los que más pueden interesar en esta Ponencia. Desde el principio del proyecto, los responsables del mismo consideramos que su configuración legal constituiría la piedra angular de toda su estructura, ya que del perfecto cumplimiento de la normativa de protección de datos podría depender el éxito o fracaso del Servicio. Por este motivo, comenzamos a mantener conversaciones con la Agencia Española de Protección de Datos, comprobando, desde las primeras reuniones que había que articular el Servicio sobre los siguientes principios: 1. Consentimiento del interesado, tanto para la consulta como para la incorporación de sus datos a los ficheros. 2. Pleno respeto al ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los interesados. 3. Creación de un Reglamento o Código Deontológico de obligado cumplimiento para las entidades usuarias del Servicio. En base a esos principios hemos desarrollado y puesto en funcionamiento el Servicio VERAZ, y por lo tanto cumple perfectamente la normativa de Protección de Datos. Quisiera animar a todos los presentes a defender su identidad dentro del sistema financiero y comercial, autoincluyéndose en el Fichero PERSUS cuando consideren que hay algún peligro derivado del Robo de la Identidad. Cuando tengan miedo que alguien pueda usurpar su identidad y operar con ella de forma fraudulenta en la vida económica y comercial. Muchas gracias. Madrid, 17 de Noviembre de

8 ANEXO Los principales fraudes en la Red. La mayoría de los ataques actuales en la actividad financiera a través de Internet se producen por medio del engaño con el que se intenta que el usuario caiga en la trampa y facilite sus claves, datos personales, etc. Estos fraudes cada día se van haciendo de una forma más profesional y por tanto van incrementándose los peligros de los engaños. PHISHING Se usa la palabra inglesa phishing (pescando) para explicar unos ataques en los que utiliza el engaño (algunos lo denomina al engaño ingeniería social aunque es un término que no me gusta) para obtener fraudulentamente de los usuarios información personal (principalmente las claves de acceso a los servicios financieros). Los delincuentes, para alcanzar al mayor número posible de víctimas e incrementar así sus posibilidades de éxito, utilizan el correo basura (Spam) para difundir sus mensajes. A través de esos correos con los que aparentan ser entidades financieras (utilizan páginas Web, aparentemente oficiales de bancos y empresas de tarjeta de crédito), intentan engañar a los usuarios para que les faciliten datos de carácter personal y claves (número de cuenta, contraseña, número de seguridad social, etc.) PHISHING POR TELÉFONO: El Phishing se produce no sólo a través de correos con Web falsas, sino también de otras formas como de mensajes a móviles y llamadas telefónicas. En la actualidad se están produciendo, sobre todo fuera de España, llamadas que simulan ser de entidades financieras, en las que con cualquier excusa se solicitan datos de las cuentas bancarias y contraseñas. Otra modalidad del Phishing telefónico se produce por la recepción de mensajes (sms) invitando a llamar a números de teléfono gratuitos para reactivar la cuenta de correo o cancelar una compra cargada por error a la cuenta bancaria. No hay que llamar a estos números de teléfono y verificar la información con nuestro banco por los medios y teléfonos habituales. PHISHING SOBRE WEB FALSAS DE RECARGAS DE MÓVILES Hay que tener cuidado con las Web falsas de recargas, que son una variante del Phishing que pretende el robo de datos bancarios con el gancho de recargas económicas de móviles. PHISHING A TRAVÉS DE LA PROPIA WEB 8

9 Otra forma de Phishing se realiza a través de Web falsas que contienen anuncios de enlaces de patrocinadores de buscadores de Internet. PHISHING LABORAL O SCAM Se denominan muleros a los que contestan y colaboran consciente o inconscientemente en una especialidad de Phishing a través de ofertas falsas de trabajo. A esta especialidad de Phishing se la conoce también por SCAM El Scam consiste en la captación de personas por medio de correos electrónicos, anuncios en Web, chats, irc, y otros medios electrónicos, en los que empresas ficticias ofrecen trabajo como intermediarios de dinero, para lo que se sólo se necesita tener abierta alguna cuenta bancaria. Los que aceptan estos trabajos terminan colaborando de forma consciente o inconsciente en el blanqueo de dinero que los delincuentes obtienen a través de las diversas modalidades de Phishing o mediante otros delitos. Las personas captadas se limitan a recibir transferencias bancarias en sus cuentas, reintegrar el dinero de las mismas y enviarlo a países extranjeros por medio de empresas de movimiento internacional de fondos tipo Western Union, Money Gram. Los delincuentes, para hacer más creíbles los engaños, suelen remitir a sus víctimas contratos falsos. Y si las personas captadas comienzan a sospechar del trabajo que realizan, los delincuentes terminan amanazándolas. Estas personas normalmente son las primeras en quedar detenidas cuando se descubren estos fraudes. PHISHING-CAR : Ofertas falsas de Vehículos Mediante este Phishing se captan compradores de coches de ocasión a muy buen precio. La venta nunca se realiza y el cliente pierde la señal que le han exigido y por supuesto nunca llega a tener el coche. El Phishing, que normalmente se recibe por correo electrónico, incluye enlaces hacia Web falsas con nombre de dominios muy similares a los de empresas de prestigió que se dedican a la venta de vehículos de ocasión, en las que aparecen interesantes ofertas de vehículos de lujo. Los delincuentes una señal que a veces supera el 30 por ciento del valor del vehículo, que ha de remitirse a través de empresas de movimientos internacionales de fondos tipo Western Union, Money Gram. La selección de los vehículos se realiza a través de las fotografías que aparecen en esas Web falsas, domiciliadas normalmente en el extranjero, bajo la promesa de la entrega del vehículo en el domicilio del comprador tras la entrega de la cantidad restante. PHISHING DE LAS LOTERÍAS FALSAS 9

10 Los usuarios reciben spam de correos electrónicos en donde les notifican que tienen un premio de lotería. Si hay contestación, los delincuentes solicitaran a los incautos todos datos bancarios para un falso ingreso del premio. En otros casos les solicitarán una parte testimonial del premio que tendrá que enviar previamente a un país extranjero para poder cobrar el premio completo. PHARMING Constituye una modalidad de fraude en la que no existe engaño previo para la entrega de información personal o claves bancarias por parte de los titulares de las cuentas, sino que los delincuentes, mediante diferentes programas informáticos piratas (normalmente gusanos y troyanos) efectúan una manipulación de nuestro ordenador consistente en redireccionar de forma malintencionada al usuario a un sitio Web falso y fraudulento mediante la explotación del sistema DNS. A esta modalidad se la denomina también secuestro ó envenenamiento del DNS. El Pharming, por tanto, consiste en una manipulación de las direcciones DNS para conseguir que las páginas que visiten los usuarios no sean las originales aunque su aspecto será idéntico. Al operar en esta Web los usuarios con sus nombres y contraseñas de acceso, registrarán esta información sensible en la base de datos de los delincuentes. MEDIDAS BÁSICAS DE SEGURIDAD PARA EVITAR ESTOS FRAUDES 1. Utilice Antivirus: Instale un antivirus de escritorio o una aplicación similar suministrada por su proveedor de servicios de Internet o de cualquier empresa especializada, a ser posible con actualización automática antes de abrir su correo electrónico o navegar por la red. 2. Ponga Cortafuegos en su Ordenador: Los cortafuegos o "firewall" son software destinados a garantizar la seguridad en las comunicaciones vía Internet porque bloquean las entradas sin autorización a los ordenadores y restringen las salidas de información. Es imprescindible utilizar este tipo de software si se dispone de conexión ADSL, y muy aconsejable en el resto de casos. 3. Sea inteligente con el Correo electrónico: Desconfíe de aquellos correos que le llegan en idiomas que desconoce, que proceden de direcciones desconocidas, que incluyen videos y fotos asegurando que deben ser vistos, o que ofrecen productos mágicos, vacaciones gratuitas, trabajos altamente remunerados, dinero fácil o le apremian a actualizar su información bancaria. 10

11 4. Valore en su empresa o domicilio la asignación de Usuarios y Contraseñas: En su empresa y domicilio otorgue a cada Usuarios de los ordenadores privilegios que estén acordes al uso que vayan a hacer de los mismos y mantenga una política de contraseñas fuerte según se describe en Alerta- Antivirus de la Red. CATA. 5. Tenga cuidado con los Chat y la mensajería instantánea: Como hemos analizado, las principales amenazas en Internet proceden de mensajes con invitaciones a ver sitios Web, que en la mayoría de los casos albergan programas para la descarga de códigos maliciosos. Otras amenazas llegan a través de fotos y vídeos. Por todo ello, se tendrán que observar las máximas precauciones a la hora de conversar y agregar contactos de desconocidos, especialmente los internautas más pequeños de la casa. 6. Ojo con los P2P (Peer-to-peer) o la política de Compartir ficheros: Los contenidos aportados por algunos usuarios malintencionados contienen programas y códigos maliciosos. 7. No comparta software ilegal Antes de abrir cualquier archivo que descargue, analícelo con su antivirus actualizado. 8. Busque la seguridad en los móviles: Si los teléfonos móviles están equipados con conexión bluetooth y no va a utilizarse esta funcionalidad, es conveniente mantener este tipo de conexión desactivada, activándola únicamente durante el tiempo que vayamos a utilizarla. Tengamos cuidado sobre todo con las descargas en los teléfonos móviles porque con ellas podrían instalarse marcadores de teléfono automáticos (dialers), o archivos que permitan el acceso no autorizado a información de los dispositivos (vg.: troyanos). 9. Visite regularmente las páginas de información sobre seguridad informática y esté atento a las noticias que sobre seguridad aparecen en los medios de comunicación. 11