En las últimas semanas, dos de las principales billeteras virtuales de la Argentina tuvieron problemas de seguridad informática. Primero, fue el caso de Ualá. Usuarios de la aplicación financiera creada por Pierpaolo Barbieri aseguraron que sus cuentas fueron vaciadas sin haber sido víctimas de phishing o de estafas.
Luego le tocó el turno a Mercado Libre y a Mercado Pago, que se convirtieron en el blanco de Lapsus$, uno de los principales grupos de ciberdelitos a nivel mundial. Su código fuente –algo así como los planos del sitio– fue robado y, según admitió la propia empresa, también los datos de 300 mil usuarios, como nombre y apellido, sin comprometer información personal sensible (DNI, contraseñas o claves).
Si bien son de naturalezas diferentes –el caso de Ualá puede atribuirse, según señalaron especialistas, a la falta de medidas de seguridad, mientras que el unicornio de Marcos Galperin fue víctima de un ataque–, surge la pregunta acerca de cómo se regulan las billeteras virtuales.
En la Argentina, no hay una legislación específica sobre billeteras virtuales, como sí la hay en otros países de América latina, por caso, México. En el país, la parte financiera y operativa está bajo la órbita del Banco Central, que regula a través de comunicaciones estos aspectos. Allí incluye cuestiones de seguridad como el pedido de instrumentar mecanismos “fuertes” para validar la identidad de los usuarios y otro tipo de requisitos.
No obstante, de acuerdo con los especialistas, el mercado va por delante de las regulaciones. Los usuarios no cuentan con una normativa específica a la cual recurrir. En todo caso, se pueden valer de la Ley de Defensa del Consumidor, que data de 1993, y sus actualizaciones. Tampoco hay –señalan– exigencias técnicas sobre los estándares de seguridad informática que deben seguir las aplicaciones.
Crecimiento exponencial y seguridad informática
Argentina es el país donde más rápido se expandió la utilización de billeteras virtuales. De acuerdo con el último dato del registro nacional con el que cuenta el Banco Central, hay 34 en el país. Es el número más alto de América latina y representa casi el cinco por ciento de la oferta mundial de este tipo de servicios.
Potenciado por la pandemia, su nivel de permeabilidad en la sociedad alcanzó a cientos de miles de personas en poco tiempo. En el país, hay más de 30 millones de cuentas virtuales que operan con una Clave Virtual Uniforme (CVU), una serie única de 22 dígitos que permite identificar a la cuenta con el usuario.
Este crecimiento no estuvo acompañado de una campaña sobre buenos usos de los entornos digitales y prácticas adecuadas. Por eso, tras la pandemia, se sucedieron numerosos casos de estafas, tanto entre los usuarios de billeteras virtuales como en cuentas de home banking.
En febrero pasado, el Central estableció nuevos requisitos para las billeteras electrónicas o Prestadores de Servicios de Pago (PSP), según el nombre técnico. Deberán inscribirse en el Registro de Billeteras Digitales Interoperables y obtener la certificación para brindar el servicio. El plazo para cumplir con este requisito vence el 15 de abril.
Ignacio Carballo, economista y especialista en fintech, señaló que “hace algunas semanas hubo ajustes que hacen que el registro funcione como una licencia para poder ofrecer los pagos interoperables”.
El objetivo de esta medida es mitigar los intentos de fraudes que sufren estas cuentas. A la autenticación del cliente y la autorización ante instrucción de pago, dos de los requisitos que ya deben cumplir las billeteras, se les sumó este nuevo filtro que exige incorporarse al registro.
Ataques
“El número de billeteras se multiplicó por 10 desde 2020 en adelante”, señalaron desde la Cámara Argentina de Fintech (CAF). Y este crecimiento estuvo acompañado de riesgos y de ataques informáticos.
En abril del año pasado, el Central emitió la comunicación A 7266, en la que establece los “lineamientos para la respuesta y la recuperación ante ciberincidentes”.
Según marcan algunos especialistas, no fija estándares de seguridad ni tampoco cómo se debe proteger a los usuarios ante el robo de sus cuentas. No obstante, las empresas señalan que cumplen con las medidas que fija el Central, mientras que otras reconocen que se guían por normas internacionales para brindar mejores condiciones.
“Ninguna organización está exenta de los ciberataques. Es un tema que atraviesa a toda la industria y que requiere a las compañías actualización y preparación constante para gestionar los incidentes referidos a seguridad y garantizar –ante todo– la protección de datos sensibles de nuestros clientes”, apuntan desde Naranja X, que sufrió un ataque en mayo del año pasado.
“En ese sentido, existen diferentes organismos que se encargan de regular el cumplimiento de normas sobre seguridad de las empresas. El BCRA, puntualmente para entidades alcanzadas, establece la obligatoriedad de tener un plan de respuestas ante ciberataques”, agregan desde la entidad cordobesa.
Desde la CAF, señalaron la evolución permanente que tiene el sector. “La naturaleza dinámica de este tipo de negocios implica la revisión y la adaptación constante de la normativa vigente para estructurar un marco regulatorio que proteja a los usuarios sin desincentivar la innovación y el desarrollo de un sector generador de divisas, empleo y avances tecnológicos”, indicaron.
Advertencias
Sin embargo, para el analista informático Julio Ernesto López, estas normas que establece el Central son poco precisas. “No hay una regulación concreta sobre las fintech. Se juntan tres personas y hacen una app, la fondean con la suficiente cantidad de dinero para hacer marketing a gran escala... y listo, la gente pone el dinero. Hay algunas regulaciones sobre la plata que está adentro, pero no sobre la seguridad que tiene que tener ese desarrollo”, dijo.
Y advirtió que las empresas “pueden darse el lujo de no tener una seguridad acorde y de que no pase nada, como ocurrió con Ualá. Imaginate una empresa que hace aviones y que no está regulada; y para bajar costos, no pone cinturones de seguridad”.
“Ninguna normativa abarca todos los aspectos relativos a estándares de servicio y contralor, ni a garantías por fallas de ciberseguridad”, dijo Pablo Salas, abogado y profesor de Derecho Bancario y Digital en la Universidad Siglo 21 (UES21) y en la Universidad Católica de Córdoba (UCC), ante la consulta sobre la regulación de las billeteras virtuales. Y agregó que tampoco hay “auditorías sistemáticas” para verificarlas.
“Aquí introducen una previsión general sobre seguridad, exigiendo que arbitren mecanismos para detectar actividades sospechosas o inusuales de usuarios, a fines de mitigar el riesgo de fraude; y con la Comunicación ‘A’ 7463 vino, a su turno, a fijar algunas pautas para hacerlo, pero una vez más se trata simplemente de guidelines o principios”, señaló Salas.
Y agregó: “Siguen existiendo grandes lagunas legislativas, que son aprovechadas por el mercado, siempre por delante de la regulación en este ámbito. El Banco Central y la Comisión Nacional de Valores (CNV) han obrado de forma más bien espasmódica y ante necesidades puntuales. Estamos aún lejos de contar con un esquema claro y sistemático de legislación y contralor para este sector de las fintech, lo que se ve agravado por el uso masivo y exponencial que vemos en el mercado”.
Regulaciones, encaje y embargos
Las diferentes regulaciones sobre el sector recaen principalmente sobre aspectos financieros y no sobre los derechos de los usuarios. En estos últimos dos años, el Central emitió una serie de comunicaciones para fijar pautas sobre el funcionamiento de las billeteras digitales.
Una de las primeras fue en enero de 2020. Allí estableció que los fondos de los clientes Proveedores de Servicios de Pago (PSP), como los denomina el BCRA, tienen que estar disponibles en forma inmediata en cuentas a la vista.
Ignacio Carballo, economista y especialista en fintech, reconoce que en términos comparativos tienen una legislación bastante más laxa que el régimen bancario. “No hay requisitos de capital mínimo, no les permiten operar los mismos productos, no pueden dar créditos ni dar productos, como tarjetas de créditos o plazos fijos, ni dar jubilaciones”, dijo
A fines del año pasado, el Banco Central decidió exigirles a las fintech encajar el 100 por ciento de los activos de las cuentas que no tienen su dinero bajo operaciones financieras.
La medida fue vista desde el sector como una traba para las fintech y un ataque directo a Mercado Libre, cuyo titular Marcos Galperin está enfrentado con el Gobierno nacional.
Más allá de la tensión política, el encaje es el respaldo monetario que tiene que tener un banco comercial sobre sus depósitos.
“De esta manera, obligan a las billeteras a tener un pie en el sistema financiero. Así pueden reducir el riesgo de maniobras especulativas y le dan una garantía al consumidor de que ese dinero existe y que no está dando vueltas”, apunta el abogado Pablo Salas.
La medida no incluye a las cuentas de inversiones que generan rentabilidad.
Embargables
La más reciente medida sobre billeteras virtuales surgió desde la Afip. En febrero, la agencia nacional incluyó a las billeteras virtuales en su lista de activos embargables.
No se trata de una regulación que afecta directamente a las fintech, sino que apuntaba a una persona morosa que utiliza este medio para poder eludir al fisco y otras responsabilidades, como la cuota alimentaria. En esta situación habría cerca de 10 mil personas y estiman poder lograr 24 mil millones de pesos, según cálculos de la Afip.
El 22 de febrero pasado, el BCRA estableció nuevos requisitos para las entidades financieras y de pago que ofrecen billeteras virtuales. En primer lugar, deberán obtener una certificación del Registro de Billeteras Digitales Interoperables para poder dar el servicio de pago con transferencia.
De alguna manera, supone una suerte de filtro para evitar caer en estafas con falsas billeteras virtuales. En este sentido, el Central da un paso más para impedir intermediaciones financieras no autorizadas.
¿Qué es el doble factor de autenticación?
El doble factor de autenticación es un mecanismo por el cual se establece una suerte de doble clave sobre una billetera virtual o en una cuenta de red social. Básicamente, se trata de una segunda instancia de seguridad que reduce al mínimo la posibilidad de un engaño o de un robo de claves. Aunque tampoco es infalible.
Precisamente, la ausencia de este tipo de resguardo fue lo que terminó provocando las denuncias de vaciamiento de cuentas en Ualá. Los atacantes, en este caso, ingresaron a las cuentas solamente utilizando un pedido para recuperar las contraseñas.
No hay una regulación que exija el doble factor de autenticación, pero la mayoría de las billeteras lo tiene. Exige, además de las contraseñas, un código que llega a un dispositivo designado por el usuario.
Con respecto a esta medida, desde Naranja X apuntaron que “en un contexto con indicadores de phishing sostenidos, la confirmación efectiva de una identidad a través de un método alternativo de validación (sms, push notifications, etcétera) es clave para frenar el accionar de ciberatacantes”.
“El doble factor de autenticación es una técnica más que fortalece el proceso de identificación y, para su correcto funcionamiento, no requiere solamente de una implementación técnica y funcional, sino también de entendimiento del usuario”, enfatizan.
Para proteger a los usuarios de técnicas de phishing o de ataques que puedan recibir de manera directa, las entidades financieras montaron diferentes campañas para mejorar los sistemas de detección y de seguimiento de casos relacionados a phishing y perfiles falsos en redes sociales. Las mismas medidas tomaron los bancos.
