Si hiciéramos un ranking de los objetos más robados en Rosario, no hay dudas de que los celulares encabezarían la lista. Botines preciados para los motochorros, esos aparatos abundan en cada rincón de la ciudad y tienen “fácil salida”: por conocidos o a través de las redes sociales, siempre hay alguien interesado en pagar un precio menor que en el mercado legal.
Para el que sufre el robo, el disgusto no se termina con el mal momento atravesado (si tiene suerte y el hurto no fue violento): todo aquel que haya pasado por una situación semejante sabe que encima hay que perder horas haciendo la denuncia, llamar rápidamente a la empresa prestadora de la línea telefónica para darla de baja y encima pensar en el costo de reposición, porque nadie puede ni quiere vivir por estos días desconectado del universo y hay que comprar otro.
Pero atención que puede haber más: ¿y si sos usuario de una billetera virtual, como Billetera Santa Fe, y tus datos aparecen por defecto en la aplicación para que no te miren raro en la cola de la granjita o el supermercado? ¿Pensaste que los delincuentes podrían generarte más perjuicios?
Porque todos nos hemos acostumbrado a usar el celular como cámara de fotos, agenda, despertador y también como billetera y banco, haciendo trámites y pagando cuentas on line que nos permiten ganar tiempo y comodidad. Pero no todos somos conscientes de que dejar grabado usuario y contraseña de la billetera virtual puede convertirse en una pesadilla.
Nuestro comportamiento como usuarios, bajo la lupa
“Supongamos que el celular de Juan no tiene habilitado ningún método de seguridad para desbloquearlo. Esto significa que cualquier persona que tenga acceso físico al celular de Juan, simplemente deslizando el dedo por la pantalla o bien presionando el botón de encendido va a poder acceder al sistema operativo y allí a las aplicaciones que tenga instaladas”, dice Miguel Patti, Ingeniero en Sistemas de Información (Matrícula CIE N° 2-3779-5), consultado por Rosario3 acerca de nuestro comportamiento en relación a la seguridad del celular y las billeteras digitales.
“Pero vamos a llevar el ejemplo todavía más al extremo, ya que a Juan le resulta poco práctico tener que completar los datos de inicio de sesión (usuarios / contraseñas) cada vez que tiene que acceder a sus aplicaciones, incluidas obviamente sus billeteras virtuales, por lo que en todas ellas ha dejado guardados sus usuarios y contraseñas para que aparezcan por defecto cada vez que las abre. Frente a este escenario, quien tenga acceso al celular de Juan tendrá también acceso a las aplicaciones con sus datos de inicio de sesión completos, pudiendo ingresar en todas ellas sin ningún tipo de traba o bloqueo. Y una vez dentro de las mismas, por ejemplo una billetera virtual, podrá operar como si fuera Juan quien lo está haciendo, disponiendo del saldo de la billetera para el fin que quiera darle”, añade el especialista, quien participa de la Comisión de Sistemas del Colegio de Ingenieros Especialistas de la Provincia de Santa Distrito II.
Esto que Patti plantea es perfectamente posible y se da en muchísimos casos: para evitar miradas indiscretas en la cola del supermercado o la granjita de la esquina, muchas personas le permiten a la billetera virtual recordar usuario y contraseña para no tener que perder tiempo hurgando en nuestra mente (en la marea de contraseñas que usamos en nuestra vida cotidiana) cuáles eran los datos requeridos. Grave error.
Para el abogado Federico Tjor, especialista en derecho informático, también hay que exigir cierto estándar de seguridad para elegir con qué billetera virtual operar: “Es un hecho que estamos migrando de la tradicional billetera en el bolsillo o la cartera al celular, por lo que ha cambiado nuestra manera de relacionarnos con la sociedad y con los comercios. Por lo tanto, tenemos que empezar a pensar no solamente nosotros en cómo cuidarnos, sino también en qué responsabilidad tienen las empresas que generan esas billeteras para proveernos de determinada seguridad a la hora de operar o cuando nos roban el aparato”.
¿Es segura Billetera Santa Fe?
Casi un millón y medio de santafesinos opera habitualmente con Billetera Santa Fe, el programa provincial de reintegros que devuelve 5 mil pesos a los consumidores en forma de crédito para volver a volcarlos en los comercios adheridos. Una fantástica herramienta para fomentar el comercio y el consumo, que en términos de seguridad está entre las de más bajo estándar.
“Algunas billeteras virtuales como las de Mercado Pago o Mercado Libre habilitan la posibilidad de tener otros factores de autenticación además de usuario y contraseña”, dice Tjor. “Es decir, exigen una clave más para identificarnos, una etapa de seguridad que te da más tranquilidad no sólo a la hora de usarla, sino sobre todo si te roban el celular. Pero también hay billeteras que no permiten ese segundo paso. Por ejemplo, Billetera Santa Fe, que no tiene ningún mecanismo extra de seguridad. Sí cuenta con la exigencia de un usuario y una contraseña que se pueden salvar en el inicio, por lo que si está configurado de ese modo, cualquier persona que tenga el teléfono puede usarla como si fuera el dueño. Si lo dejás grabado, es lo mismo que no tener nada”.
Por su parte, Patti señaló: “Algunas aplicaciones de pago tienen incorporado de manera nativa el bloqueo mediante huella dactilar, otras permiten habilitar un segundo factor de autenticación (algo similar al token que hoy en día solicitan la mayoría de los sitios de homebanking para confirmar determinadas operaciones). Pero en el caso particular de Billetera Santa Fe, la misma no tiene de manera nativa el bloqueo mediante huella dactilar. Al iniciarse la aplicación, se le solicita al usuario, que complete su DNI, Contraseña y Género como método de autenticación, dando la posibilidad de recordar estos datos. Por ende, la seguridad de los dispositivos personales depende en gran medida del criterio del usuario”.
“Las billeteras virtuales que incluyen de manera nativa el desbloqueo mediante datos biométricos tienen otro nivel de seguridad, mientras que en el resto de las billeteras que basan su seguridad únicamente en los datos de inicio de sesión del usuario, todo dependerá del criterio adoptado por este último”.
La responsabilidad de las propias empresas
Según explicó el Ingeniero Patti, “el Banco Central de la República Argentina estableció en su Comunicación “A” 7462/2022 nuevos requisitos técnicos en cuanto a las medidas de seguridad y/o normativas que deben cumplir las billeteras digitales, incluida la creación del ‘Registro de Billeteras Digitales Interoperables’, donde los proveedores de este tipo de servicio deberán inscribirse y cumplir con las disposiciones allí establecidas, entre ellas ‘facilitar que todas las actividades relacionadas con el cliente sean trazables y auditables, y brindar integridad, protección y resguardo a esos registros’”.
El doctor Tjor plantea algo interesante: si la aplicación no permite un grado superior de seguridad, ¿no es también responsable de posibles perjuicios? “Hay algunas entidades que cumplen con determinados parámetros de seguridad y funcionan bien, pero hay otras que están mal diseñadas de origen y hay una responsabilidad por el uso de una cosa riesgosa que al menos es para el debate”.
“Billetera Santa Fe no está programada para usar sensores de huella dactilar o reconocimiento facial como otras. No las tiene porque es muy simple. Mientras tanto, no hay alternativa más que poner la contraseña cada vez que la usamos porque no nos brindan otra solución técnica y nos dejan obligados a ponerla cada vez que la uso”, agregó.
Cómo operar con mayor seguridad
Para Federico Tjor, “cada situación nos representa un problema diferente: antes de pensar en la aplicación, primero pensemos en nuestra responsabilidad como usuarios del celular de poner trabas. Usemos contraseñas para entrar al equipo: si se puede huellas dactilares o reconocimiento facial, pero nunca dejemos el celular sin ningún tipo de medida de seguridad. Esa es una medida básica inicial”.
“También tengamos en cuenta que los celulares con Android o IOS permiten la eliminación remota de contenido o el bloquea del celular: mientras tenga acceso a Internet con datos o señal wifi, estará la posibilidad de recibir una señal que elimine su contenido o lo bloquee para que el delincuente no pueda causar un daño mayor al robo del equipo. Son opciones de fábrica, que el equipo ya trae. Preparadas. Lo único que tenemos que tener es la contraseña del equipo: después, una vez configurado, podemos entrar con nuestra cuenta de Google y dar la orden de eliminación de contenido o de bloqueo de celular. Para eso hay que tener cierta capacitación, mínima, para saber que están estas herramientas”, añadió.
El Ingeniero Patti recordó además que también existen tanto para Android como para IOS aplicaciones (muchas de ellas gratuitas) que posibilitan agregar bloqueos biométricos, por pin o por patrones, a las aplicaciones ya instaladas en el sistema, dotando de un mayor nivel de seguridad al dispositivo.
Y destacó que es clave definir, al momento de comenzar a utilizar una billetera virtual, la forma en la cual vamos a transferir dinero. “Entre todos los métodos posibles (Transferencia, cuenta bancaria vinculada, tarjeta de débito vinculada, tarjeta de crédito vinculada) el que resulta más seguro es el de ir transfiriendo a medida que vamos a usar, ya que ante un eventual robo (y suponiendo que la aplicación tiene recordados el usuario y la contraseña) la billetera dispondrá como máximo del dinero que le hemos transferido, mientras que en cualquiera de los otros casos los límites estarán impuestos por el medio vinculado (dinero en nuestra cuenta bancaria, límite de compra de la tarjeta, etc.)”.
Guía de buenas prácticas:
-Utilizar algún método de seguridad para el desbloqueo del dispositivo.
- Evitar o minimizar el uso de recordar los datos de inicio de sesión en las aplicaciones.
-Utilizar aplicaciones que de manera nativa incluyan el desbloqueo mediante datos biométricos.
-Habilitar en aquellas aplicaciones que así lo permitan un segundo factor de autenticación.
-Evaluar la necesidad de instalar aplicaciones complementarias para incrementar la seguridad del dispositivo.
Mientras que ante el robo del dispositivo, debemos hacer tres cosas:
-Informar de manera inmediata a la compañía telefónica (baja del chip)
-Cambio de contraseña de las cuentas configuradas en el dispositivo.
-Evaluar la eliminación remota del contenido del dispositivo.
“Es importante decir que seguridad y simplicidad de uso no van de la mano sino más bien en sentidos opuestos, ya que toda medida de seguridad implicará alguna acción o tarea vinculada, por lo que para el usuario significará algún grado de mayor complejidad en el uso del dispositivo. Cada uno debe encontrar un punto en el cual la seguridad y la simplicidad en el uso estén equilibradas”, concluyó Patti.