Vaciaron cuentas de Ualá y crecen las dudas sobre la seguridad de las Fintech
Durante el fin de semana largo de carnaval, varios clientes de la empresa Ualá reportaron que fueron víctimas del robo (o fraude) de dinero. Casi 70 clientes de esta billetera digital (que tiene más de 3,5 millones de usuarios) denunciaron que les "vaciaron" las cuentas virtuales, ya que la modalidad fue que se hicieron transferencias salientes desde las mismas sin su consentimiento.
Todo comenzó cuando un usuario escribió en la red social Twitter: "Me acabo de dar cuenta que literalmente me afanaron $18.500 de mi cuenta de Ualá". Y, luego, decenas más dieron a conocer que habían vivido experiencias similares.
"Estamos siguiendo uno a uno los 68 casos reportados durante el fin de semana largo, los cuales fueron atendidos de inmediato", aseguran desde la empresa. Y señalaron que "no se trata de una vulnerabilidad en el sistema de Ualá".
Por otro lado, responsabilizaron a Brubank por no haber congelado las cuentas a las que se transfirió el dinero involucrado en el fraude. Así lo denunció el fundador de Ualá, Pierpaolo Barbieri, quien criticó al banco digital por no haber firmado un protocolo antifraude que se elaboró recientemente.
Caso Ualá: Investigación y dudas de los usuarios
Desde la billetera virtual, aseguraron que "ya están activos todos los protocolos correspondientes y, como siempre, nuestra prioridad es la atención a los usuarios".
No obstante, según pudo saber iProfesional, la Superintendencia de Entidades Financieras del Banco Central (BCRA) inició una investigación sobre el incidente y está pidiendo información a los involucrados: a Brubank y a Ualá (aunque, por ser una fintech y no un banco, está fuera del ámbito de control del regulador) para determinar si fue algo en escala.
Este incidente trascendió rápidamente deja latente una pregunta: ¿es seguro operar a través del sector fintech para los usuarios?
Seguridad fintech: puntos débiles del sector
A la pregunta, Gabriel Zurdo, especialista en ciberseguridad y CEO de BTR Consulting, responde que "las fintech están algunos escalones más abajo que el sistema financiero tradicional en materia de seguridad" y señala que esto tiene que ver con tres elementos centrales:
- La trans-nacionalidad: Según Zurdo, "la portabilidad de la industria Fintech hace que se licúe el criterio que el Banco Central establece tradicionalmente para los bancos", a los que les exigía que los servicios tecnológicos tenían que estar dentro de las fronteras argentinas para operar en el país.
Y es que, Hoy, la mayoría de las fintech no los tienen en Argentina y Zurdo asegura que, al estar tercerizados, muchos ni saben dónde los tienen. "La mayoría de las plataformas tienen sus servicios tecnológicos en la nube y registran muchos más incidentes de los que se conocen por cuestiones comerciales", afirma.
- El management: El experto en ciberseguridad observa que, hoy, la conducción de las Fintech está desapegada de los conceptos tradicionales de control, seguridad y control de fraude a cambio de más innovación, flexibilidad y portabilidad.
Tal como apunta otra fuente especializada en la temática, "la cultura fintech se auto-percibe muy moderna, pero muchas empresas se dan muchos golpes en pos de esos conceptos de modernidad".
- Un marco regulatorio deficitario: Sucede que este sector no está bajo el mismo paraguas normativo que el resto de la industria financiera y eso genera un vacío regulatorio importante porque, si bien el Central tiene control sobre el manejo de las cuentas bancarias, no lo tiene sobre las virtuales.
"Probablemente hay necesidad de nuevas regulaciones para este segmento. El tema es que los bancos en España, Argentina y Chile tienen tres regulaciones distintas del banco central local y las tienen que cumplir, pero las plataformas digitales no", señala Zurdo.
El on-boarding: un problema para el fraude
Así, menciona que operan con la misma plataforma en todos los mercados sin un seguimiento de un regulador que supervise la operatoria de manera eficiente y cualquier usuario abre una cuenta desde donde sea con dos o tres requisitos, que suelen ser:
- una selfie,
- un número de teléfono,
- a veces un documento de identidad
- un mail
"Las fintech tienen una estrategia de captación de jóvenes, que muchas veces no tienen que ser mayores de edad y tampoco hay un sistema de verificación como podría ser el Veraz involucrado", comenta el Zurdo.
Así, apunta que muchas bandas de delincuentes cooptan gente haciéndoles completar datos en una página web ‘trucha’ de búsqueda laboral, por ejemplo, que incluye el requisito de cargar una selfie y documento. Luego, usan esos datos para abrir una cuenta falsa en una fintech y les roban el dinero.
"Hoy hay una tendencia muy marcada a la eficiencia, al user experience y la innovación tecnológica. La gente compra eso y no, seguridad", advierte Zurdo. Y otro problema que se enfrenta es la falta de respuesta por parte de las fintech, que muchas veces no responden a las denuncias o no se responsabilizan por el incidente.