El Banco Central de la República Argentina (BCRA) anunció este lunes un cambio en el mecanismo para ingresar dinero a billeteras virtuales. Dos días después, el Ministro de Economía y candidato a presidente por Unión por la Patria, Sergio Massa, ordenó derogar la medida del Central. En un round más de la pelea entre bancos tradicionales y fintech, se puso sobre la mesa el debate sobre la seguridad de las aplicaciones en las que se manejan dinero: ¿cómo securizar las cuentas para no ser estafados?
Lo que el BCRA había dispuesto era que desde el 1 de diciembre no corriera más el sistema de débito inmediato (DEBIN) y pasarán a usarse las “transferencias pull”, ya disponibles en apps como Ualá. Esto desató un cruce entre el creador de Mercado Libre y Mercado Pago, Marcos Galperin, y el ente que regula a las instituciones bancarias. ¿Qué es lo que iba a cambiar y por qué se volvió a hablar de la seguridad de las cuentas online?
“DEBIN es un débito inmediato en donde todos pueden poner un CBU y extraer fondos de cualquier cuenta propia y ese permiso queda guardado para seguir extrayendo dinero a futuro. Lo positivo es que es súper fácil de manejar y sólo podés ‘traer’ plata de cuentas tuyas”, explica a Clarín Ariel Setton, economista experto en medios de pago. El mismo BCRA, en una sección de su página, reconoce que es un método más fácil y rápido.
“Pero esto también tiene un potencial problema: no es reversible. Desde el banco que vos usás no tenés forma de cortar esa transferencia de dinero. Entonces cuando a alguien le roban el celular y tiene una billetera virtual como Mercado Pago, el delincuente puede abrir la app, usar DEBIN desde una cuenta bancaria del usuario y no solamente vaciar los fondos de la cuenta de Mercado Pago sino también de las cuentas bancarias asociadas”, advierte.
“El sistema financiero está intentando resolver esto y lo hacen con el sistema de ‘transferencias pull’, que es el open banking en Europa o lo que quiere implementar Brasil. Esto significa dos cosas: que para dar de alta a una app como Mercado Pago o cualquier otra billetera virtual, no sólo tengas que tener el CBU sino, la primera vez, un factor de autenticación completo, como ser el login del banco, DNI, contraseña, usuario y el token de seguridad, para acreditar 100% que sólo pueda fondear plata el titular legítimo de la cuenta”, sigue el especialista.
Hasta ahora, el sistema DEBIN no requiere todo este proceso de autenticación: con sólo introducir un CBU de una cuenta bancaria propia, la app ya permite el flujo de activos desde la banca tradicional a la billetera virtual.
Pero además, una parte importante de esto es que el proceso se puede interrumpir. Y esto es fundamental en el caso del robo del teléfono: “La otra parte superadora es que, en este caso, las transferencias pull, son reversibles en cuanto a sus permisos: una vez que le das permiso a Mercado Pago, el permiso se mantiene, pero si te roban el teléfono, podés ir a una computadora y cortar esos giros de plata desde Mercado Pago, Ualá desde tu online banking. De esa forma interrumpís un poco el robo de dinero contra las personas a las que les robaron dispositivos”, argumenta Setton.
“La norma relacionada al DEBIN recurrente pone la obligación de devolver el dinero debitado en cabeza de la empresa que solicitó el débito, minimizando la posibilidad de que un usuario se vea afectado económicamente por un fraude de DEBIN”, complementa Alfonso Martel Seward, Head of Compliance en la billetera virtual Lemon.
Por supuesto, el proceso agrega un paso de fricción y es ese el punto en el cual se queja Mercado Pago: según la Cámara de las Fintech, el DEBIN es utilizado cada mes por más de 4 millones de usuarios, que realizan un promedio de 7 transacciones mensuales.
Mercado Pago asegura además que, en las pruebas realizadas para la implementación de sistema pull, “el porcentaje de transferencias aprobadas alcanzó solamente al 10% del total de operaciones iniciadas por los usuarios, mientras que el Debin registra una tasa de éxito del 62%”.
La empresa publicó un hilo en X (Twitter) donde asegura que en las pruebas de la empresa, “9 de cada 10 personas no logra ingresar dinero a sus cuentas al verse obligados a atravesar múltiples pasos en sus home banking e incluso, con algunos bancos, a acercarse a un cajero automático”.
Por una norma del Banco Central (BCRA) que fue impulsada por los bancos tradicionales, más de 4 millones de personas van a tener dificultades para ingresar dinero a su cuenta digital de Mercado Pago.
— Mercado Pago (@mercadopago) September 25, 2023
“Desde el punto de vista de la experiencia de usuario, obviamente que es más fácil girar plata por DEBIN y ahora hay más fricción: poner credenciales completas, un token y demás, quizás para una gran parte de los usuarios sea el límite que imposibilite darle cierre a ese fondeo de cuentas”, complementa Setton.
Según el BCRA, “estas modificaciones no alteran en ningún punto la capacidad de los usuarios de administrar sus fondos entre los distintos proveedores de productos financieros”. Pero a los dos días de su publicación, Massa salió a pedirle al Central que derogue la medida:
UNA MEDIDA QUE BENEFICIA A LOS USUARIOS DE BILLETERAS ELECTRÓNICAS
Hoy se conoció una decisión que afectaba a los usuarios de billeteras electrónicas o virtuales. Quiero informarles que pedí la derogación de esa norma. También solicité a las billeteras virtuales que bajen la… pic.twitter.com/aCFptqikYT
— Sergio Massa (@SergioMassa) September 27, 2023
Pero Mercado Pago dice que el DEBIN “tiene el índice de fraude más bajo del que se tiene registro en el país, con un 0,02% del total de transacciones)”. Sin embargo, más allá de las cifras, múltiples usuarios han reportado robos de activos o préstamos a su nombre sin la resolución del conflicto: muchos pierden el dinero y quedan a la espera de una respuesta que nunca llega.
Ahora bien, más allá de esta pelea entre bancos y billeteras virtuales, la discusión plantea nuevamente las medidas de seguridad básicas de una cuenta online: ¿cómo evitar fraudes y robo del dinero que tenemos tanto en bancos como billeteras virtuales?
La autenticación y el segundo factor
El segundo factor de autenticación sigue siendo el antídoto más efectivo para evitar el compromiso de cuentas. De hecho, las transferencias pull apuntan a atacar este problema.
Un segundo factor, llamado MFA o 2FA es un filtro de seguridad para proteger a las cuentas de accesos no autorizados. Si se tiene en cuenta la enorme cantidad de filtraciones de datos que ocurren últimamente (PAMI o CNV, por ejemplo, durante los últimos meses), el segundo factor es un freno para evitar que un ciberdelincuente acceda a nuestros datos.
La máxima de la seguridad de las cuentas divide en al menos tres factores a la autenticación: algo que el usuario sabe (una contraseña, por ejemplo), algo que tiene (un token como usan las apps bancarias o Google Authenticator) y algo que “es” el usuario: su huella digital, su cara (biometría).
En el caso de Mercado Pago, la aplicación permite activar el reconocimiento facial o la huella digital para entrar a la aplicación: así, no alcanza sólo con desbloquear el teléfono con una clave, patrón o PIN, sino que se necesita este segundo factor que, sería, algo que el usuario “es”.
Esto se puede activar dentro de la aplicación y es una medida que va a impedir a un tercero acceder a la app donde el usuario puede tener su dinero.
¿Cómo hace un estafador para entrar a Mercado Pago una vez que robó un teléfono y logró vulnerar la contraseña si tiene un segundo factor de autenticación? Simplemente no puede: necesitaría la huella digital o la cara de la víctima para desbloquear el acceso a la app. Y si bien hay formas de lograr esto, el esfuerzo, tiempo y hasta dinero que puede demandar quebrar este segundo factor hace que el delincuente se de por vencido.
Cómo activar el segundo factor en Mercado Pago
El segundo factor en Mercado Pago es algo que la aplicación “empuja” al usuario a que haga. De todos modos, se puede activar desde la configuración:
- Ir a “Tu Perfil”
- Seleccionar “Seguridad”
- Allí hay que buscar “Verificación en dos pasos”
- Dentro de “Teléfono”, se puede introducir el número de teléfono para recibir un SMS para iniciar sesión
- También se puede seleccionar Google Authenticator, aplicación que se baja de Gogole Play o App Store, de manera gratuita.
También se puede aplicar esta medida de seguridad dentro de la aplicación:
- En Android, se puede activar huella digital, PIN, patrón o reconocimiento facial
- En iOS, Touch ID, código o Face ID
“Es fundamental que el usuario tenga activadas las medidas de seguridad en la pantalla de bloqueo de su teléfono, para que no vulneren su información personal. El método de seguridad que los usuarios utilizan para desbloquear la pantalla de su teléfono también sirve para proteger la app Mercado Pago. Nuestra aplicación no permite ingresar a teléfonos que no tengan activada algún tipo de medida de seguridad (e.g. pin, patrón, huella, face ID). Esto quiere decir que también se lo solicita cuando abren la app o hacen algún movimiento de dinero, si el dispositivo es Android, deben activar su Huella digital, PIN o Patrón. YSi el dispositivo es iOS, deben activar el Touch ID y código o Face ID y código”, explicaron desde Mercado Pago a este medio.
De esta manera, en caso del robo del teléfono celular, es más difícil para el ladrón extraer el dinero de las cuentas. Mercado Pago resaltó también la función de “personas de confianza”: “Los usuarios pueden designar hasta cinco amigos o familiares para que, en caso que sea necesario, reporten el robo o pérdida de su dispositivo. Cuando un tercero informa lo sucedido, se cierran todas las sesiones y se desvinculan todos los dispositivos para que nadie tenga acceso”, explicaron.
Más allá de esto, la discusión por el sistema DEBIN sigue en pie en cuanto a las estafas. “En vistas de la posición de Massa, sería más recomendable dar un plazo de adaptación para que los usuarios hagan el onboarding en transferencias pull de entre 6 y 9 meses, manteniendo DEBIN como instrumento de fondeo, de manera que vivan ambos, para luego limitar el DEBIN a su objetivo inicial: ser un medio de pago“, cierra Setton.
La pelea entre BCRA y Mercado Pago sirvió, de todos modos, para recordarles a los usuarios que el segundo factor de autenticación es el método más seguro para evitar el compromiso de cuentas: no sólo de las aplicaciones bancarias, sino de las redes sociales, correo electrónico y todo lo que tenga información personal que pueda ser usado en nuestra contra.