Si eres usuario de la banca en línea o en celular, a partir de este martes 23 de marzo tendrás que dar autorización para que tu banco pueda ubicarte en tiempo real al realizar alguna operación, y en caso de no hacerlo no podrás realizar transacciones. La medida, que fue aprobada hace dos años, ha desatado polémica: Por un lado se pretende prevenir el lavado de dinero y el combate al financiamiento del terrorismo, pero por el otro hay desconfianza por la posible venta de datos personales. 

Ciudad de México, 22 de marzo (SinEmbargo).– A partir de este martes, los bancos tendrán y conservarán la geolocalización en tiempo real del dispositivo electrónico en el que los clientes de la banca digital abran cuentas, celebren contratos y realicen operaciones o servicios de forma no presencial.

La Asociación de Bancos de México (ABM) alertó desde la semana pasada que los clientes y usuarios deberán en sus celulares dar su consentimiento sobre su ubicación y, en su caso, proceder con las actualizaciones para que los bancos puedan otorgar los servicios correspondientes, en los términos y condiciones que cada institución bancaria defina.

La medida busca prevenir el lavado de dinero y el combate al financiamiento del terrorismo del país. Sin embargo, ante el comunicado de la ABM usuarios de redes sociales mostraron su preocupación respecto a la posible venta de sus datos personales en el mercado negro y expresaron su desconfianza hacia el personal de los bancos en el marco de reportes de fraude o contubernio con bandas delincuenciales.

“Se vuelve terrorismo contra los cuentahabientes, porque tendrán nuestra ubicación y nos vuelven vulnerable contra los maleantes. Ustedes no han podido contra los hacker. Ahora ustedes se harán responsable y nos darán un seguro gratis contra secuestros y asesinatos”, comentó molesto un cibernauta. “Al rato aparece la base de datos en Tepito, y se podrá trazar un patrón de comportamiento para saber por dónde se mueve equis persona, qué días pueda traer más dinero y dónde ubicarla con la de intención un secuestro express o algo por el estilo”, escribió otro. “Las ratas están dentro de los bancos. Son sus cómplices”, acusó una usuaria más.

Para la organización de derechos digitales R3D, obligar a los usuarios de servicios bancarios a dar su ubicación es una medida “desproporcionada” que pone en riesgo la privacidad de las personas. *Número de usuarios de celular con internet

“Menos del 1 por ciento de las cuentas y transferencias de banca electrónica registra movimientos sospechosos. Sin embargo, los datos de inocentes estarán vulnerables por años”, escribió en Twitter el director de R3D, Luis Fernando García sobre el hecho de que las instituciones bancarias conservarán la geolocalización por tiempo indefinido.

De acuerdo con la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares 2019, realizada por el Instituto Nacional de Estadística y Geografía (Inegi), en colaboración con la Secretaría de Comunicaciones y Transportes (SCT) y el Instituto Federal de Telecomunicaciones (IFT),
en México hay 80.6 millones de usuarios de seis años de edad o más que utilizan internet, pero sólo 16.8 por ciento lo usa para realizar alguna operación o actividad bancaria.

Respecto al número de mexicanos con celular, la cifra es de 86.5 millones de usuarios, de los cuales, nueve de cada 10 poseen un teléfono inteligente (smartphone).

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) recomendó a las instituciones bancarias “extremar precauciones” para el uso de la geolocalización de sus clientes y usuarios que requieran de sus servicios vía remota.

Los clientes y usuarios de los servicios de instituciones bancarias que detecten o tengan conocimiento del tratamiento indebido de sus datos personales pueden presentar una denuncia ante el INAI en el sitio https://www.datospersonales.org.mx/Acceso.aspx o a través de los correos electrónicos [email protected] e [email protected]

En entrevista radiofónica, el presidente de la Asociación de Bancos de México (AMB), Rodrigo Brand, precisó que como banco no están interesados en saber dónde están los clientes las 24 horas del día, sino detectar si”quien está realizando la operación es efectivamente el cliente y el dispositivo que nosotros tenemos registrado”.

VENTA DE BASE DE DATOS

A inicios de año la organización R3D informó que tres bases de datos con supuestos registros de personas usuarias de los bancos BBVA y Santander, así como del Instituto Mexicano del Seguro Social (IMSS) fueron puestas a la venta el 22 de enero en un foro. El registro de BBVA alega tener tres millones de registros, el de Santander tendría un millón y el del IMSS, 42 millones.

Hiram Camarillo, director y fundador de la firma de ciberseguridad Seekurity, revisó las bases de datos. Entre los registros filtrados en la base de datos de BBVA se encuentran el nombre completo de la persona, dirección (calle, colonia, ciudad, estado y código postal), número telefónico y RFC; mientras que la base de Santander también incluye el número de tarjeta.

Por su parte, la base de datos del IMSS incluye datos como nombre y domicilio del empleador, así como nombre, número de afiliación, CURP y salario base del trabajador.

El grupo Bank Security se puso en contacto con el vendedor, quien “tiene buena reputación en foros de dark web y por eso puede ser cierto que la base de datos es real”.

El atacante ofreció en el sitio, a finales de diciembre de 2020, una base de datos de Telcel con 60 millones de registros, presuntamente actualizada a 2019-2020. En ese mismo mes, otro usuario publicó una presunta base de datos con información del programa de Becas de Educación Media Superior Benito Juárez del Banco del Bienestar, la cual fue reportada por diario El Economista.

El 25 de enero otro vendedor ofertó bases de compañías como Coppel, Banamex y Movistar, así como de organismos como la Comisión Federal de Electricidad (CFE), el Instituto Nacional Electoral (INE), el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE), y el Instituto del Fondo Nacional de la Vivienda para los Trabajadores (Infonavit), entre otros.

“Estos incidentes –planteó R3D– son un recordatorio del deber que tienen empresas y sujetos obligados en el resguardo, tratamiento y transferencia de datos personales. Además, este tipo de vulneraciones se vuelven aún más graves cuando las instituciones utilizan bases de datos centralizadas, como la que pretende crear el Padrón Nacional de Usuarios de Telefonía Móvil”.

La base de datos del Registro Nacional de Usuarios de Telefonía (Renaut) creado en 2009 y vigente hasta 2011, por ejemplo, estuvo a la venta en el mercado negro.

Aunque las empresas tienen la obligación de notificar a las personas usuarias cuando han sido afectadas por una filtración, aseveró la organización de derechos digitales, en el caso de los bancos referidos ─BBVA y Santander─ hasta el momento no han emitido ningún pronunciamiento sobre la revelación de estas bases de datos.

“Ante la falta de garantías mínimas de protección de datos, tanto las instituciones bancarias como otros organismos públicos deben frenar sus esfuerzos por recabar y almacenar información biométrica ─como huella digital, rostro, iris o ADN─, cuya malversación tendría efectos desastrosos en la privacidad y seguridad de las personas”, requirió R3D.