martes, mayo 24, 2016

Robo de Identidad y la falacia del Buró de Crédito.

* El contenido de este artículo refleja la opinión de su autor, y aunque está empleado en la industria de la ciberseguridad, no necesariamente el de la compañía para la cual trabaja.
* El autor es actual cliente de Buró de Crédito, con contrato de Alertas Buró Vigente.

Un servicio necesario para entrega de créditos

Si usted es mexicano y ha tramitado o desea tramitar algún crédito, sea este bancario, de una tienda departamental, automotriz o de algún servicio como teléfono o televisión de paga; es probable que haya escuchado hablar del Buró de Crédito.
El concepto detrás del Buró de Crédito (y su único competidor, Círculo de Crédito) es relativamente simple: cuando se inicia el trámite de un crédito, la entidad a quien se está solicitándolo (un banco, por ejemplo) puede consultar una base de datos central (un listado) donde toda persona que ha sido deudor se encuentra registrado junto a su historial crediticio. Esta gran base de datos es administrada por una entidad privada (En México: Buró de Crédito o Círculo de Crédito), que simplemente recibe y administra los registros de quiénes han solicitado crédito, cuándo, por qué monto y si están o no al corriente de sus pagos. Son las diferentes entidades que otorgan créditos quienes reportan a esta entidad central (con alguna periodicidad que no siempre es clara) esta Información, que a su vez es compartida con otras entidades que la solicitan para otorgar o no créditos, sirviendo entonces como una fuente para consultar la reputación financiera de uno.
La decisión de otorgar o no el crédito sigue correspondiendo a la entidad a quien se le ha hecho la solicitud del mismo (el banco, en nuestro ejemplo), quien usará para ello la información del historial crediticio del solicitante, así como información adicional que considere pertinente para evaluar su capacidad de pago y reducir así el riesgo de impago y por tanto de cartera vencida. Es por tanto, un servicio relevante para una economía donde el crédito es importante: a los solicitantes se les reducen los tiempos y costos para recibir un crédito, y entrega a quienes lo otorgan información mas precisa y confiable para tomar decisiones acertadas tanto en la autorización del crédito y sus condiciones (en particular montos y plazos). Un ganar-ganar para consumidores y empresas.

Buró de Crédito y los Consumidores

Además del servicio arriba descrito, que está orientado principalmente a otorgantes de créditos (Bancos y Empresas), tanto Buró de Crédito como Círculo de Crédito ofrecen también servicios a los consumidores. Es particularmente relevante el servicio de notificación cuando alguien consulta información sobre el historial de crédito individual, así como cuando se registran nuevos créditos.
Este servicio permite entonces tener la tranquilidad de que si alguien consulta información  sobre uno, dicha solicitud de información sea legítima: que uno la haya autorizado expresamente. Si se inscribe y otorga un nuevo crédito, que éste en realidad haya sido solicitado por el interesado y no sea apócrifo.
Buró de Crédito registra también con cada crédito nuevo el domicilio que fue usado en la solicitud, así como datos del empleo actual, empresa y dirección.  Cuando ocurren cambios o adiciones a estos datos, se informa al individuo mediante el servicio Alertas Buró sobre dichas alteraciones. Esto nuevamente permite evitar la comisión de fraudes mediante Robo de Identidad, un delito que a últimas fechas ha ido creciendo y en el que según datos púbicos (http://www.condusef.gob.mx/Revista/index.php/usuario-inteligente/consejos-de-seguridad/563-robo-de-identidad) México es puntero al ocupar el Octavo Lugar Mundial.
El Robo de Identidad ocurre cuando alguien obtiene de forma apócrifa información personal. Datos como fecha y/o lugar de nacimiento, CURP, RFC o hasta identificaciones y comprobantes de domicilio que permiten efectuar acciones a nombre de alguien mas. Acciones que van desde cobrar un cheque, hacer trámites ante gobierno, abrir cuentas de banco y… tramitar servicios y créditos. Dado que actualmente la tecnología permite la captura y transmisión de información de forma muy simple (piense que cualquiera puede tomar con su celular una foto de su credencial de elector o tarjeta de crédito, y transmitirla en segundos mediante correo electrónico o mensajería instantánea como WhatsApp), tomar precauciones para evitar ser víctima del Robo de Identidad no es menor. (Ver http://inicio.ifai.org.mx/nuevo/Guia%20Robo%20Identidad.pdf)
Todos estamos expuestos. A todos nos puede pasar. Y nos pasa…

La sorpresa de tener un crédito no solicitado

Yo contraté el Servicio de Alertas Buró en 2011. Entré a la página del Buró de Crédito, llené la solicitud, pagué en línea con tarjeta de crédito y listo. Con esto tuve derecho a cuatro “reportes de crédito especial” con el detalle exacto de los créditos en mi historial y recibir vía correo electrónico alertas cuando alguien consultaba mi historial, abría un nuevo crédito o cancelaba alguno existente, así como al añadir domicilios o empleos a mi expediente personal.
El servicio me funcionó bastante bien por 4 años. Hasta que algo falló. En Agosto de 2015 mi servicio de Alertas fue cancelado debido a errores en la página de Buró de Crédito que me impidieron renovar el servicio. Al pedir apoyo me solicitaron que enviara mis datos por e-mail (cosa que como Profesional de Seguridad de la información no haría) o les llamara por teléfono. Debido a un constante ritmo de viajes volví a intentar inscribirme al servicio solo hasta Noviembre (de 2015). Y… cuál no sería mi sorpresa el encontrar un nuevo crédito a mi nombre con la empresa DISH (proveedora de Televisión de Paga), contratado en agosto de 2014 con un domicilio en Nuevo León  (soy residente chilango-mexiquense, según la época del año) y con adeudos desde octubre de ese mismo año.
¿¿¿Qué??? Yo tenía Alertas Buró activo en Agosto de 2014. Había pasado mas de 1 año desde la apertura. Las preguntas vienen: ¿Por qué  Alertas Buró no me informó entonces? ¿Por qué me avisa hasta Noviembre de 2015?
Mi primera reacción fue solicitar una aclaración inmediatamente. Yo no pedí ese crédito, así que debe ser un error de alguien. Levanté la reclamación y 16 días posteriores recibí la respuesta: según la empresa DISH yo sí había pedido el crédito, pues en su sistema aparecía un registro con mis datos como “prueba” que yo había solicitado sus servicios.  Me mandaron un “pantallazo” de su sistema donde figuraba mi nombre, mi RFC y el domicilio en Nuevo León. Y eso les era suficiente para determinar que yo lo había solicitado, sin posibilidad de yo pedir mas explicaciones.
¿¿¿Qué??? Un “pantallazo” no es evidencia y cualquier profesional de la informática sabe que eso es falsificable. ¿Por qué no me mandaron copia del contrato con mi firma, como sucede cuando te clonan tu tarjeta y te mandan copia del voucher firmado por tí? ¿Qué identificación y comprobante de domicilio mostró el usurpador de mi nombre ante DISH, para poder contratar un servicio  a mi nombre, que le fue suficiente a quien lo otorgó?

La falacia detrás del Servicio de Alertas Buró

Soy un profesional que trabaja a diario con temas de CiberSeguridad. Decidí abordar el tópico de la manera mas procedural posible. En los meses subsecuentes hice seguimiento vía Telefónica y por Correo Electrónico. Documenté lo mejor posible mi caso, inclusive con algunas grabaciones. Después de varios meses, al momento no tengo nada que apunte a una resolución que elimine el crédito apócrifo con DISH, ni manera de saber si mi nombre ha sido usado para obtener créditos en otros lados.
Los funcionarios de la empresa DISH en repetidas ocasiones me dijeron que no podía ir a ninguna oficina a tratar de aclarar presencialmente mi asunto. Todo lo debía aclarar vía telefónica y vía correo electrónico . Después de pedirme datos (identificación, comprobante de domicilio y copia de mi Reporte de Crédito Especial de Buró de Crédito), los cuales a regañadientes envié tratando de avanzar mi trámite, solo he recibido largas por parte de ellos. Hablar con sus supervisores me ha servido de nada. Y en sus tiendas el personal que tienen (solo de ventas) me refieren al número de atención a clientes (NO soy su cliente, pero igual he ido por ahí) para regresar a donde mismo.
Los funcionarios de Buró de Crédito se han limitado a decirme que simplemente son administradores de mi información, pero que no pueden hacer nada en mi caso dado que DISH afirma que soy su cliente… sin mas pruebas que un pantallazo.
Al consultarles por qué Buró de Crédito no me avisó cuándo el crédito fue solicitado en 2014, a pesar de tener el servicio de Alertas vigente en ese entonces, después de mucho insistir de diferentes maneras declararon algo que yo no sabía y que es relevante en su uso: el Buró de Crédito solo puede emitir una Alerta cuando las entidades les avisan que alguien ha contratado  un crédito y/o se encuentra atrasado en pagos. Lo cual puede ser meses después del hecho. En pocas palabras, el servicio de Alertas Buró no funciona como esperaba.
O en palabras textuales de quien respondió mi cuestionamiento "el servicio de alertas le avisa por correo cualquier movimiento que exista en su historial para que usted este al tanto si dichos movimientos los reconoce por algún tramite previo que usted haya realizado, las modificaciones depende del momento en que los otorgantes de crédito lo reporten en nuestra base de datos." (sic)
Falsa sensación de seguridad es cuando uno piensa estar protegido, cuando en realidad no se está. El servicio de Alertas Buró es engañosamente promocionado como un servicio que notifica de la consulta, adición o alteración de información crediticia de forma inmediata. Y de hecho con los créditos legítimamente solicitados es así. Para los créditos apócrifos como el arriba referido, en mi caso tomó mas de un año en que fuera notificado. Quizá pudo haber sido mas.
Dicho de otra manera, alguien puede tomar mis datos, solicitar un crédito y yo puedo estar sin saberlo por tiempo indefinido (en mi caso mas de un año) a pesar de tener Alertas Buró contratado y vigente. Y cuando te das cuenta, puede ser ya demasiado tarde…
Concedido: en ningún lado el Buró de Crédito dice que las alertas son inmediatas (ésto se sobreentiende). Tampoco dice que pueden tomar hasta un año en aparecer, pero sí dice que ayuda a proteger contra el robo de identidad, lo cual bajo estas circunstancias no es cierto.

Conclusiones

La historia especifica motivo del artículo está al momento inconclusa, pero hay algunas conclusiones preliminares. La mas importante: el servicio Alertas Buró del Buró de Crédito no funciona como es promocionado. Y se debe tener cuidado.
Al momento de escribir esto, ni Buró de Crédito ni DISH han hecho eco a mi legítima solicitud de limpiar un crédito apócrifo que alguien mas solicitó en mi nombre, donde sus controles fallaron. Y no me ofrecen mecanismos para hacerlo mas que una reclamación que no procedió, a pesar ed ser legítima. En mi forma de ver las cosas: DISH falló al dar de alta un servicio sin hacer las validaciones de identidad correspondientes ni avisar de inmediato al Buró de Crédito para que su potencial cliente supiera que se había contratado un servicio. Buró de Crédito falla al no tener una periodicidad determinada (¿mensual? ¿bimestral? NO puede ser anual) con la cual solicite (¿exija?) a las entidades que le reportan la información crediticia que le permita ofrecer un servicio eficiente a sus clientes. Tanto empresariales como consumidores individuales. Y por tanto está ofreciendo a sus clientes una falsa sensación de seguridad: a sus clientes individuales al creer que serán notificados vía Alertas Buró cuando alguien use sus datos indebidamente. A sus clientes empresariales al ofrecerles información que potencialmente no está actualizada. Mal servicio por donde se vea.
Desconozco si atrás de esto hay alguna situación de falla estructural en los procesos. Desconozco si hay mala fe o dolo por parte de los funcionarios de alguna de esas dos instituciones. ¿Será que por esto no me permitían renovar automáticamente (vía página Web) el servicio de Alertas Buró? ¿Por qué DISH se tomó mas de 1 año en reportar un deudor que ya debía por varios meses consecutivos, cuando esto regularmente ocurre al primer mes de deuda? ¿Será que hay colusión de empleados de alguna de estas dos empresas con algún grupo que se dedica a estafar/defraudar a sus clientes actuales o potenciales? ¿Existe mala fe de Buró de Crédito al no informar a los consumidores de Alertas Buró que puede llevar hasta un año (quizá mas, dependiendo de cuándo las empresas reporten la información de deudores) avisarles de un potencial mal uso de sus datos?. Desconozco las respuestas. Pero sí se que en mi caso, hay por lo menos algo negligencia por parte de DISH y Buró de Crédito al no poder dar cauce a un reclamo legítimo.
Lo que sigue para mí es dar aviso a las autoridades correspondientes (CONDUSEF y quien proceda, segun encuentre el camino). Quizá sea la Segunda Parte de este Artículo.
Sobre Círculo de Crédito y sus servicios no puedo opinar, pues al momento no soy su cliente. Planeo inscribirme cuando me lo permita mi intenso trajín profesional. Pero sobre Buró de Crédito tome las palabras arriba vertidas como una advertencia .

¿Planea usted contratar o es cliente actual del Servicio de Alertas Buró o algún otro ofrecido por Buró de Crédito?  El servicio es recomendable y sigue siendo necesario. Y sería mucho mejor si funcionara según las expectativas, teniendo y proporcionando información actualizada. Pero por el momento no es confiable por las razones arriba expuestas, al punto que tenerlo o no tenerlo es para fines prácticos, lo mismo; pues la información que se ofrece puede no estar vigente y cuando uno se da cuenta, puede ser ya muy tarde para reaccionar. Ahí tiene usted una historia real. Considérelo.