La palabra phishing quiere decir suplantación de identidad, y es utilizada para describir una maniobra fraudulenta que utilizan los ciberdelincuentes para obtener información confidencial de los usuarios y, así, apropiarse de la identidad de esas personas, sus datos privados, especialmente para acceder a sus cuentas o datos bancarios.

Los ciberdelincuentes utilizan todo tipo de recursos: emails, WhatsApp, llamados telefónicos, para obtener información y acceder a las cuentas, contraseñas y datos personales valiosos. Una vez que los piratas obtienen los datos y logran acceder a la cuenta y vaciarla. Las artimañas son cada vez más sofisticadas y el riesgo de caer es real.Ahora bien, si caemos, ¿Qué hacemos?

Imaginemos el escenario: saqué un crédito, o cobré una transacción o una indemnización o cualquier cosa que nutra de fondos la cuenta del banco y, de repente, me desayuno con que la misma está vacía. ¿Cómo debo proceder?

Segundo, saber que los bancos, en tanto entidades profesionales, deben conducirse con un “plus” de diligencia, y al ser quienes implementan dichos sistemas para “optimizar los servicios” (que se traduce también en un rédito para el banco) deben extremar los recaudos y las medidas de prevención para neutralizar maniobras como el phishing o responder si sus sistemas de “protección” y/o “seguridad” fallan ocasionando un perjuicio al cliente

A su vez, el Banco Central de la República Argentina (BCRA), como autoridad de contralor y superintendencia del sistema bancario ha dictado una serie de normas destinadas específicamente a prevenir, evitar y combatir los delitos que puedan perpetrarse cometido en el uso de la banca digital o mediante la sustracción no autorizada de datos bancarios sensibles, estableciendo estándares mínimos para el efectivo cumplimiento del deber de seguridad, como por ejemplo, la Comunicación “A” 6878 del BCRA, que en su artículo 3.8.5, dispone que “deberán adoptarse normas y procedimientos internos a efectos de verificar que el movimiento que se registre en las cuentas guarde razonabilidad con las actividades declaradas por los clientes”; la Comunicación “A” 4609 instruye que “la estrategia de seguridad deberá contemplar el establecimiento de mecanismos de control para la detección, registro, análisis, comunicación, corrección, clasificación y cuantificación de los incidentes y de las debilidades en los accesos no autorizados a la información administrada en los sistemas de información”; entre otras (ver Picasso Netri, Lisandro en “Responsabilidad de las entidades bancarias por estafas informáticas”).

Tercero, frente al fracaso de los reclamos informales o canalizados por las vías que ofrece el banco, recurrir al auxilio profesional de un abogado de confianza o a la Secretaría de Defensa de los Consumidores y Usuarios, donde podrán dar una orientación clave, en especial, cómo formalizar el reclamo facilitando algún modelo para remitir una carta documento.

Usualmente, si estos reclamos llegan a la Justicia, los jueces suelen considerar lo siguiente: “...el banco está mejor capacitado para dilucidar exactamente cómo sucedió la maniobra y adonde fueron los fondos. Las entidades bancarias tienen la posibilidad de trackear el destino de las transacciones. Pueden averiguar a donde fue a parar el dinero, a la cuenta de quién. Y con esa información pueden generar un sistema de alerta temprana que refuerce la seguridad de los entornos digitales para evitar casos de phishing...”; y también refiriéndose a las medidas de prevención que deben adoptar las entidades bancarias: “... un sistema de seguridad eficiente hubiera impedido que un usuario digital recién recuperado (con tres intentos fallidos) solicite un préstamo al banco y realice transferencias a cuentas a las que nunca antes había transferido. Se trataría de una medida de prevención razonable, viable, que se puede implementar y que evitaría muchísimos casos de phishing. Esta medida de prevención no se tomó y se podría haber tomado...” (citado por Picasso Netri, Lisandro en “Responsabilidad de las entidades bancarias por estafas informáticas”).

Los bancos cargan con el ineludible deber de brindar los mecanismos de seguridad a los fines de evitar este tipo de delitos. No les basta ampararse en el cumplimiento de las normas reglamentarias del BCRA para librarse de su responsabilidad, sino que, por el contrario, deben ultimar los recursos y técnicas suficientes para mantener al cliente a salvo de las maniobras ciberdelictuales pergeñadas por terceros. 

Hablamos de la Inteligencia Artificial, del “Big Data”, del “Machine Learning”, de sus “bondades” (o no) de la misma, pero no es usual que se explique que toda esta tecnología es gracias al aprovechamiento de los datos que “vamos” dejando en cualquier sistema. Es decir, los “datos” son la materia prima de dichas tecnologías, y nosotros, los proveedores de los “datos”.

Tan es así que se afirma que “Los datos se han convertido en un factor de producción fundamental de cualquier proceso económico actual, indistintamente si es desde el sector privado, o el Estado. Así, la generación masiva de datos, y la capacidad de procesarlos para construir valor, resulta clave para incrementar la eficacia y eficiencia en la toma de decisiones”.

Al mismo tiempo, también se utiliza toda esta información para desarrollar el “microtargeting”, actividad que se desarrolla mediante el uso de perfiles “psicométricos”.

¿De qué se trata?Según dice Byung Chul Han (“Infocracia”, Editorial Taurus), “La psicometría, también conocida como es un procedimiento basado en datos para obtener un perfil de personalidad. Los perfiles psicométricos permiten predecir el comportamiento de una persona mejor de lo que podría hacerlo un amigo o compañero. Con suficientes datos, es posible incluso generar una información más allá de lo que creeos saber de nosotros mismos (…)”.

Siguiendo esta línea, según Eli Pariser, “La nueva generación de filtros de internet se fija en lo que aparece que a usted le gusta -cómo ha sido de activo en la red o qué cosas o personas le gustan- y saca las conclusiones pertinentes. Las máquinas pronosticadoras crean y y refinan continuamente una teoría sobre su personalidad y predicen lo siguiente que usted querrá hacer. Juntas, estas máquinas crean un universo de información para cada uno de nosotros -lo que llamo “filtro burbuja”- y cambian fundamentalmente el modo en que accedemos a las ideas y a la información”. Cuanto más tiempo paso en internet, más se llena mi filtro burbuja de información que me gusta, que refuerza mis creencias. Sólo me muestran aquellas visiones del mundo que están conformes con la mía. El filtro corta el paso a otras informaciones, De ese modo, el filtro burbuja me enreda en un permanente.” (ver Infocracia).

¿Cómo se obtienen los datos?Los datos provienen de todo tipo de fuentes: visita a cualquier sitio web a cualquier efecto; uso de GPS; todo tipo de consulta u operación que se haga por sistema; comentarios en redes sociales; foto multas; compras con tarjetas; correo electrónico; las aplicaciones cuentapasos; los geolocalizadores; aunque la mejor herramienta de registro de datos es el “smartphone”.

Debemos ser sabedores de lo siguiente: cualquier movimiento por más irrelevante que parezca produce una “dato” que otro aprovecha. ¿Cómo? Su “aprovechador” los procesa y emplea con múltiples y distintos fines.

Esto no debería sorprender a nadie ya que generalmente damos “permiso” para que usen “nuestros”. Así, cuando se visita un sitio web (al menos la primera vez) surge un formulario virtual que contiene “Términos y Condiciones” donde se explica “qué pasa” con la información que uno deja volcada en el sitio. Leer estos textos, tiene una duración promedio de dieciséis (16) minutos. En los hechos, las personas no leen nada y “clickean” “ACEPTAR” y pasan a lo que sigue; y lo que es cuasi seguro es que nadie sabe “dónde fueron a parar sus datos”.

¿Existen modos de prever, medir e incluso retrotraer el “viaje” de los datos?

Sí. El “data management” tiene dicha finalidad.

Data Management y Data Protection. La necesidad de su incorporación.

Las disciplinas que permiten organizar y sacar provecho de los datos, forman parte del Data Management o Gestión de Datos, y se puede pensar en ellas como una serie de prácticas que permiten el desarrollo y ejecución de arquitecturas, políticas y procedimientos que cubren las necesidades del ciclo de vida completo de los datos de una empresa.

Si bien no existe ninguna normativa doméstica sobre el particular, y dentro de los “organigramas” de las sociedades que manipulan datos no resulta frecuente la mención de un sector o departamento de “data compliance”, consideramos que resulta una figura necesaria y su incorporación no obedece sólo a una buena práctica, sino que también guarda estricta relación con las diligencias que deben adoptar los administradores societarios.

En otras latitudes, incorporar un “DPO” (siglas por “data protection officer” o “delegado de protección de datos”, que no es otra cosa que un “data compliance”) como órgano societario y/o como asistente permanente de los mismos, es una obligación cuyo incumplimiento genera distinto tipo de sanciones.

En esta línea, en la Unión Europea, debido a los distintos conflictos derivados del manejo irresponsable de datos, se sancionó el Reglamento General de Protección de Datos (RGPD, aunque es más conocido como GDPR, por sus siglas en inglés). El RGPD –vigente desde el 2018– es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos entre fronteras.

Destacamos que de ningún modo se sugiere encastrar a la fuerza en nuestro sistema una figura propia de otro sistema (amén del éxito de la misma), sino tan sólo aprovechar las experiencias para casos similares.

CorolarioDel mismo modo que en otras áreas se entiende necesaria la existencia de un Programa de Compliance (por ej., Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas), consideramos imprescindible que las sociedades que se valgan de “datos”, cuenten con un sector o departamento de “Data Compliance”.

Como antes dijimos, su incorporación no obedece sólo a una buena práctica, sino que también guarda estricta relación con las diligencias que deben adoptar los hombres de negocios.