Banco Bci interpuso una querella contra quienes resulten responsables por fraudes, los cuales están asociados al mal uso de cuentas digitales.
Sin embargo, a diferencia de los habituales casos de autofraudes —personas que realizan compras con sus propias cuentas y luego las desconocen para pedir la devolución del dinero—, en este caso se aprovecharían de una vulnerabilidad informática que estaría permitiendo la apertura de cuentas MACH por medio de la suplantación de identidad durante el proceso de onboarding digital.
Desde principios de 2021, la Gerencia Legal Judicial de Bci viene detectando un patrón alarmante de fraude, especialmente a través de las cuentas MACH, que permiten la apertura a distancia.
El modus operandi de los delincuentes comienza con la apertura de cuentas bajo identidades falsas o usurpadas. Utilizan cédulas de identidad falsas durante el proceso de validación. En los plásticos, figuran los RUT y números de documento correcto, pero las fotos y las firmas no necesariamente coinciden con la persona real.
Posteriormente, estas cuentas reciben depósitos por cantidades que suelen ir entre $2.000.000 y $3.000.000, solo para que los fondos sean rápidamente retirados mediante diversas técnicas, como giros de efectivo, pagos de servicios, compras o transferencias a terceros.
“Esta forma de actuar consiste en que el cliente, una vez que realiza la apertura de cuenta en Bci o MACH, hace o recibe depósitos de 35 UF o más, suma que posteriormente es extraída de distintas formas”, dice la querella. Luego, los movimientos son desconocidos por el cliente, señalando que la transacción fue realizada tras un robo, hurto, extravío o fraude al producto, por lo que en 5 días hábiles desde la fecha del reclamo la entidad debe restituir los fondos hasta 35 UF.
¿Cómo se concreta el fraude en las cuentas MACH?
Este método incluye la apertura de cuentas mediante el uso de documentos de identidad falsificados y la explotación de sistemas de verificación de identidad digital, como el proporcionado por la empresa ONFIDO, proveedor de MACH.
La querella especifica que, en muchos casos, los clientes han reportado desconocer la apertura de dichas cuentas a su nombre, indicando una eventual usurpación de identidad. De hecho, en el documento se muestran fotos de los suplantadores junto a las cédulas adulteradas, seguido de la imagen real de los clientes con los carnets originales.
ℹ️ Con el objetivo de resguardar la privacidad de los afectados, no se reproducen dichas imágenes en este artículo, pero en la mayoría de los casos se observaron cédulas de identidad adulteradas utilizadas para realizar el onboarding. Tienen el mismo RUT y número de documento del carnet original, pero difieren en la fotografía utilizada, que corresponden a la del suplantador.
Además, en estos casos el banco ha observado patrones de transacciones sospechosas, como depósitos desde casas comerciales seguidos de solicitudes de devolución basadas en supuestas transacciones no autorizadas.
La querella detalla varios ejemplos de este fraude, incluyendo casos donde las cuentas MACH fueron usadas para recibir y luego retirar sumas de dinero que suman más de $10 millones. Estas operaciones fraudulentas estarían vinculadas con la obtención de avances en efectivo de tiendas como ABCDIN, con más de 23 casos identificados que involucran sumas que superan los $67 millones.
Desde MACH aseguran que se trata de un producto “100% seguro” y que “para garantizar la seguridad de nuestros usuarios y sus cuentas, de manera permanente estamos actualizando y reforzando nuestros protocolos de prevención de fraude”.
Respecto de posibles mejoras al proceso de autenticación que provee ONFIDO, indicaron que “de forma permanente estamos actualizando y reforzando nuestros protocolos de prevención de fraude, para garantizar la seguridad de nuestros usuarios y sus cuentas”.
En su querella, Bci solicitó una serie de diligencias, incluyendo la participación de Cibercrimen de la Policía de Investigaciones (PDI) y la colaboración de entidades comerciales y bancarias involucradas en las transacciones señaladas.
Presidenta de la CMF: “Tenemos que tener al menos tres factores de autenticación”
Consultada por Chócale, Solange Berstein, presidenta de la Comisión para el Mercado Financiera (CMF), señaló que el regulador está al tanto de esta situación y recordó que expuso ante el Congreso hace dos semanas sobre los distintos estándares para la apertura de cuentas digitales.
“Para poder tener un adecuado control de prevención de una suplantación de identidad, tenemos que tener al menos tres factores de autenticación: algo que tengo, algo que sé y algo que soy“, señaló.
En ese sentido, ejemplificó con la existencia de claves dinámicas y tokens (lo que se tiene), preguntas personales que se deben responder (lo que se sabe), y la propia cara del usuario (lo que uno es).
“Es difícil poder prevenir cualquier fraude. Siempre vamos a tener algún nivel de fraude y la idea es poder mitigarlo lo más posible. Tenemos la ley que pone toda la responsabilidad en el emisor cuando es un fraude real, porque es quien tiene las capacidades para poner las mayores capas de protección para que esto no suceda”, expresó Berstein.
La autoridad llamó al autocuidado de los usuarios financieros, como el debido resguardo de la cédula de identidad y de las claves.
“Vamos a tener que ir aprendiendo de qué cosas puedo o no puedo hacer. Hemos conocido de entidades a las cuales yo puedo ir caminando por la calle y te ofrecen un servicio de escaneo de iris, o su huella, y anda circulando después por el ciberespacio. Ni la biometría aguanta cuando se utilizan este tipo de herramientas y nos vamos quedando sin elementos que posibilitan la protección”, aseguró.
