El caso que develó problemas de seguridad en las apps de delivery

Raúl Avilés y su esposa, Camila Ibáñez, estaban en la calle cuando un motorista se les acercó. Les quitó el celular de las manos y se fue. Lo que pareció ser un asalto no terminó ahí. A los minutos, les empezaron a llegar correos que anunciaban compras hechas a través de la cuenta de Rappi iniciada en el celular. El monto: superior a los cuatro millones de pesos. El ladrón compró celulares, alcohol y hasta cigarros en menos de 15 minutos. Avilés recuerda que tenía su celular bloqueado y, hasta el día de hoy, no se explica cómo lograron burlar su contraseña para hacer las compras. Tras el robo, junto a su esposa se dieron cuenta de la existencia de vacíos en la seguridad de las apps de delivery.

"En Rappi ni siquiera tiene un número al que puedas llamar, no hay un número ni oficinas de atención", acusa Avilés a Piensa Digital. Tras bloquear las tarjetas y el celular, como aún no tenían respuesta de la aplicación, recurrió a denunciar el hecho en redes sociales, para hacer público su caso. Tras ello, Rappi se contactó con el matrimonio para devolverle la mayoría del dinero.

La Ley del Consumidor establece, entre otras obligaciones, que las empresas deben entregar productos y servicios seguros, tomando todos los resguardos para que, por ejemplo, los consumidores no sean víctimas de fraudes. El director nacional del Sernac, Lucas del Villar, sostiene que las empresas tienen responsabilidad en caso de no tomar medidas suficientes para evitar que el patrimonio del consumidor o su seguridad se vean afectados.

En el caso de las aplicaciones, la mayoría de los reclamos recibidos por el Sernac se refieren a incumplimientos de las condiciones ofrecidas, como retardo en la entrega o cobros superiores a los informados. Sin embargo, Raúl Avilés confirma que descubrió que lo que a él le pasó es es un modus operandi que le ha pasado a otros. Hasta la fecha, cuatro personas más se contactaron con él porque tuvieron un problema similar con aplicaciones móviles.

La abogada y analista de políticas públicas de Derechos Digitales, Michelle Bordachar, considera que hay un vacío legal en las apps, en el sentido de que no hay ninguna ley que se refiera en específico a casos que incluyan a aplicaciones móviles. Sin embargo, explica que las leyes se hacen en términos bastante amplios, para que puedan adaptarse a los cambios sociales.

En mayo de este año se publicó la Ley 21.234, que limita la responsabilidad de los titulares o usuarios de tarjetas de pago y transacciones electrónicas en caso de hurto, robo, extravío o fraude. Desde la Comisión para el Mercado Financiero señalan que con ella, en términos generales, bancos y otros emisores de tarjetas de pago deben asumir su responsabilidad en un caso como el de Avilés, en la medida que se cumplan las condiciones establecidas por la ley.

La nueva ley asigna al usuario la responsabilidad de dar aviso oportuno al emisor ante la ocurrencia del caso. Existe un plazo de 30 días hábiles para reclamar por las operaciones hechas sin autorización. Luego de recibido el reclamo, el emisor deberá proceder a la cancelación de los cargos o a la restitución de los fondos dentro de cinco días, cuando el monto total reclamado sea igual o inferior a 35 UF. Si el monto es superior a dicha cifra, el emisor tendrá siete días adicionales para restituirlos al usuario, salvo que decida ejercer acciones judiciales para acreditar que el usuario ha actuado con culpa grave o dolo.

Aunque existe un vacío legal, Bordachar, quien es investigadora del Centro de Derecho Informático de la Facultad de Derecho de la Universidad de Chile, afirma que no es suficiente como para que las aplicaciones se desentiendan. "Los que usamos las plataformas somos los consumidores, y no está en nosotros hacer que el servicio sea seguro. No podemos hacer responsables a las personas por problemas derivados de las medidas de seguridad, porque son las empresas las que tienen que tomar la decisión de implementar esas medidas", sostiene.

La abogada  propone que, como medida de prevención, lo que las empresas de reparto podría implementar es que, desde ciertos montos hacia arriba, se solicite ingresar el número verificador de la tarjeta de crédito, aunque ya esté inscrita.

Bordachar hace una analogía entre las apps y lo que ocurrió con los bancos y la clonación de tarjetas: "Si bien no había una ley que dijera que, si se clonaban las tarjetas de crédito, los bancos tenían que hacerse cargo, los tribunales reiteradamente interpretaron la ley existente en el sentido de hacerlos responsables, hasta que esa interpretación terminó convertida en ley", dice. Así, se despejó toda duda sobre la responsabilidad de estas fallas de seguridad, pues es el banco el que tiene los mecanismos y las herramientas para hacer que las tarjetas sean seguras, no las personas.

La comisaria de la Brigada Investigadora del Cibercrimen Metropolitana, Patricia Rojas, explica que lo primero que se debe hacer en caso del robo de un celular vinculado a tarjetas de crédito, es dar aviso al banco y bloquear todas las tarjetas.

Es un consejo conocido que el teléfono debe contar con una contraseña, pero la comisaria enfatiza que es fundamental que el teléfono cuente con clave o un patrón complejos, que, en caso de robo, ayuden a dar tiempo para hacer los bloqueos correspondientes antes de que los delincuentes puedan entrar. Sin embargo, Rojas reconoce que la tecnología que tienen los delincuentes actualmente es "brutal", por lo que se las arreglan para acceder a celulares con clave.

Desde Rappi explican que, en caso de que un usuario extravíe su celular, con el propósito de prevenir actividades fraudulentas, se puede ingresar a la página web de la app y, en la sección de Centro de Ayuda, eliminar los métodos de pagos cargados dentro de la plataforma y cerrar sesión en el dispositivo móvil. Luego, en la sección de "Con mi cuenta" y dentro de "Seguridad de mi cuenta", se puede denunciar con soporte que la cuenta está siendo utilizada por otra persona.

Además, desde la aplicación de delivery señalan que, ante una situación de robo, según la Ley 21.234, el usuario debe comunicarse inmediatamente con su banco para alertar acerca del robo de la tarjeta y bloquearlas. "Es aconsejable que realice una denuncia a Carabineros, para que desde Rappi y en diálogo con el banco se coordine la devolución del dinero al usuario", agregan.

La comisaria Rojas señala que, luego de bloquear las tarjetas, se debe llamar a la PDI y, desde otro equipo, cambiar todas las contraseñas de las sesiones iniciadas en el celular, ya sea de redes sociales o correo electrónico. También hace un llamado a no acceder a links ni abrir cualquier tipo de correo, porque puede dejar malwares en los equipos que faciliten las estafas. Además, la comisaria advierte que hay un delito cada vez más frecuente en que, mediante mensajes y correos, se dice que se tienen encomiendas retenidas en aduanas, por las cuales se debe pagar una multa. Ella señala que las aduanas nunca pedirán depósitos a cuentas rut.