Acceso no autorizado a cuentas: el teatro del absurdo digital
El Espejismo de la Seguridad: Usted es el Primer Eslabón (y el más Débil)
Vivimos en una era fascinante donde confiamos nuestra economía personal a una serie de ceros y unos que viajan por cables y ondas invisibles. Le entregamos la llave de nuestra caja fuerte a un sistema que nos promete comodidad y seguridad, y nos sorprende, con una indignación casi infantil, cuando algo sale mal. La primera revelación, que debería ser obvia pero parece requerir repetición constante, es que la seguridad de una cuenta bancaria empieza y termina en el teclado del usuario.
Los bancos pueden gastar fortunas en firewalls, encriptación de grado militar y algoritmos predictivos, pero toda esa parafernalia se desmorona ante una contraseña como ‘123456’ o el nombre del perro de la familia. Es el equivalente digital a dejar la llave del auto puesta en el contacto, con un cartel de neón que dice ‘lléveselo’. Los atacantes rara vez son genios informáticos que atraviesan murallas de código como en las películas. La mayoría de las veces son pescadores. No usan redes de alta mar, sino una simple caña y un anzuelo: un correo electrónico que simula ser del banco, un mensaje de texto con una oferta irresistible, una llamada telefónica de un supuesto ‘asesor de seguridad’. A esto se lo conoce como phishing. Y la gente, con una prisa que asusta, pica el anzuelo.
La defensa más común del cliente afectado es: ‘¡Pero el mail parecía real!’. Por supuesto que parecía real. Ese es todo el punto del engaño. Nadie caería en un correo escrito con faltas de ortografía que ofrece un millón de dólares de un príncipe nigeriano. Bueno, casi nadie. El arte del fraude moderno es la sutileza, es imitar a la perfección la comunicación corporativa para que usted, el usuario confiado, entregue voluntariamente sus credenciales. Legalmente, esto se conoce como negligencia. A veces, negligencia grave. Y es la principal línea de defensa de cualquier entidad financiera: ‘Señor juez, nosotros le dimos al cliente una puerta blindada y él le dio la combinación al primer desconocido que se la pidió con amabilidad’.
Otro actor en este drama es el malware, software malicioso que se instala en su computadora o celular, a menudo sin que se dé cuenta. Puede registrar todo lo que tipea (incluyendo usuarios y contraseñas) o directamente darle control remoto de su dispositivo a un tercero. ¿Cómo llega ahí? Generalmente, descargando programas de fuentes dudosas o haciendo clic en enlaces que prometían algo demasiado bueno para ser verdad. De nuevo, volvemos al punto de partida: la decisión del usuario.
El Banco: ¿Fortaleza Inexpugnable o Muro de Cartón?
Ahora, cambiemos el foco. Culpar exclusivamente al usuario es simple, cómodo y, para los bancos, muy rentable. Pero ignora una parte fundamental de la ecuación: la entidad financiera no es un mero espectador. Es un proveedor profesional de un servicio por el cual cobra, y ese servicio incluye, de manera central, el deber de seguridad. La ley impone a los bancos una responsabilidad profesional objetiva. Esto significa que no basta con ‘hacer lo que se puede’; deben implementar y mantener sistemas de seguridad que estén a la altura de los riesgos conocidos y previsibles del negocio.
Aquí es donde el debate se vuelve técnico y, francamente, más interesante. ¿El banco utiliza autenticación de dos factores (2FA) para todas las operaciones sensibles? Este sistema, que requiere un segundo código (generalmente enviado al celular) además de la contraseña, es hoy un estándar mínimo. Un banco que no lo implementa de forma obligatoria está, en mi opinión, invitando al desastre. ¿Sus sistemas monitorean activamente en busca de comportamientos anómalos? Si un cliente que nunca transfirió más de diez mil pesos de repente ordena diez transferencias consecutivas por montos elevados a cuentas desconocidas en plena madrugada, una alarma debería sonar. No una alarma física, sino un bloqueo preventivo, una llamada de verificación. La ausencia de estos controles es un argumento de peso para el cliente.
La trazabilidad de la operación es clave. El banco debe poder demostrar, con registros (logs) inalterados y detallados, cómo y desde dónde se accedió a la cuenta. ¿Desde qué dirección IP? ¿Qué dispositivo se usó? ¿Coincide con el patrón de uso habitual del cliente? Si el banco no puede proporcionar esta información de manera clara y auditable, su defensa se debilita enormemente. Su argumento de ‘fue el cliente’ se convierte en una mera suposición sin sustento técnico.
El Campo de Batalla Legal: Manual de Supervivencia para las Partes
Cuando la plata desaparece y el diálogo amable se agota, el asunto llega a la justicia. Aquí, el guion es casi siempre el mismo, un pequeño drama judicial con actores y roles predefinidos.
Para el Acusador (el Cliente): Su misión es parecer todo menos negligente. Lo primero y más importante es la inmediatez. Apenas detecta el problema, debe realizar la denuncia al banco por un medio fehaciente (correo electrónico, llamado con número de reclamo, carta documento). Luego, la denuncia policial. El tiempo corre en su contra. Cada minuto de inacción puede ser interpretado como una aceptación tácita del hecho. Debe reunir toda la evidencia posible: los correos de phishing recibidos (sin hacerles clic de nuevo, por favor), los mensajes de texto, los registros de llamadas. Su relato debe ser coherente y creíble. El objetivo legal es invertir la carga de la prueba. Usted no tiene que probar cómo lo hackearon; usted tiene que presentar un caso verosímil de que la operación fue anómala y no autorizada. A partir de ahí, es el banco, como profesional, el que debe demostrar que sus sistemas son infalibles y que la única explicación posible es una negligencia inexcusable por su parte. Una tarea, si las cosas se hacen bien, bastante más difícil de lo que parece.
Para el Acusado (el Banco): Su estrategia es, previsiblemente, la opuesta. El objetivo es pintar al cliente como el arquitecto de su propia desgracia. La defensa se basará en demostrar la ‘culpa de la víctima’. Presentarán sus robustos protocolos de seguridad, los términos y condiciones que el cliente aceptó sin leer donde se le advertía sobre los riesgos del phishing, y, si los tienen, los logs que indican que el acceso se produjo desde los dispositivos habituales del cliente. Argumentarán que la transferencia fue validada con todos los pasos de seguridad requeridos (usuario, contraseña, token). En esencia, dirán: ‘Nosotros construimos un auto seguro, con cinturones y airbags. Si el cliente decidió manejarlo con los ojos vendados a 200 km/h, no es nuestra responsabilidad’. Es una defensa potente, sobre todo si pueden probar que el cliente efectivamente comprometió sus datos de forma imprudente.
Verdades Incómodas y la Danza de la Culpa
Al final del día, estos casos exponen algunas verdades incómodas sobre nuestra relación con la tecnología y el dinero. Creemos que la ‘nube’ es un lugar etéreo y seguro, cuando en realidad son computadoras físicas, vulnerables como cualquier otra. Exigimos simplicidad y comodidad, pero nos quejamos cuando esa simplicidad es explotada. Nos ofende que nos pidan demasiados pasos para confirmar una operación, pero nos indignamos si la seguridad es laxa.
La justicia, por su parte, intenta poner orden en este caos con herramientas del siglo XX. El concepto de ‘culpa’ o ‘diligencia’ se estira para abarcar realidades que sus creadores jamás imaginaron. Un juez debe decidir si hacer clic en un enlace es una ‘negligencia grave’ o un error comprensible en un mundo saturado de comunicaciones digitales. No hay una respuesta fácil, y los fallos pueden variar enormemente dependiendo de los detalles del caso y la sensibilidad del tribunal.
La lección final, si es que hay una, es que la responsabilidad es una papa caliente que todos se pasan. El cliente se la pasa al banco, el banco al cliente. En esta danza de la culpa, el único que pierde de entrada es quien vio su cuenta vaciada. La prevención, esa palabra tan aburrida y tan poco dramática, sigue siendo la única estrategia ganadora. Implica un estado de paranoia saludable: desconfiar por defecto, verificar dos veces, entender que en el mundo digital, al igual que en el real, nadie regala nada y las cerraduras solo sirven si uno no deja la llave a la vista de todos. Parece mentira que haya que explicar esto, pero, viendo la cantidad de casos que llegan a mi escritorio, parece que hay que seguir haciéndolo. Con una pila de expedientes que lo confirman.
