Ladrones de identidad explotan el proceso de configuración de la billetera Bitcoin Chivo de El Salvador

En un primer momento, Cynthia Gutiérrez se negó a descargar Chivo, la billetera digital desarrollada por el gobierno de El Salvador para el uso de Bitcoin en todo el país y lanzada el 7 de septiembre.

Ella decidió abrir la aplicación el 16 de octubre después de enterarse por otros salvadoreños que los piratas informáticos habían activado billeteras asociadas a los números de nueve dígitos de sus tarjetas de identidad, conocidos como DUI por sus siglas en español.

“Esto fue creciendo cada vez más, llegando a mi círculo cercano”, dijo Gutiérrez, de 28 años, a CoinDesk.

Cuando Gutiérrez ingresó su información personal, apareció una pantalla indicando que su número de documento ya estaba asociado a una billetera. Inmediatamente, tomó una captura de pantalla, temiendo que sus datos fueran utilizados con fines ilícitos.

El caso de Gutiérrez es ONE de los cientos que los salvadoreños han denunciado en las redes sociales y a defensores locales desde septiembre, cuando se estableció el Bitcoin como moneda de curso legal y Chivo comenzó a circular. utilizado masivamente en el país.

Entre el 9 y el 14 de octubre, Cristosal, una organización de derechos Human en El Salvador, recibió 755 notificaciones de salvadoreños que denunciaron robo de identidad con sus Chivo Wallets, dijo a CoinDesk Rina Montti, directora de investigación de derechos Human del grupo.

En la mayoría de estos casos, los salvadoreños afectados intentaron activar sus billeteras luego de enterarse de la gran cantidad de personas que reportaban que sus identidades habían sido robadas.

Los hackers tenían un incentivo: cada billetera venía cargada con 30 dólares en Bitcoin, proporcionados por la administración del presidente salvadoreño Nayib Bukele para incentivar a los ciudadanos a usar la Criptomonedas.

El gobierno de El Salvador no respondió a una Request de comentarios sobre las denuncias de robo de identidad relacionadas con las billeteras hasta el momento de la publicación.

Con la adopción de Bitcoin, Bukele colocó a su país centroamericano en el centro de una discusión global sobre el futuro del dinero. El proceso no estuvo exento de consecuencias. críticos, como las realizadas contra el artículo 7 de la ley, que estipula que todos los comerciantes deben aceptar Bitcoin como forma de pago cuando los clientes lo ofrezcan.

El presidente más tardedenegado Que la aceptación de Bitcoin sería obligatoria. Los salvadoreños quedaron desconcertados por la discrepancia entre lo que dijo el presidente y lo que establecía la ley.

En agosto, las encuestaspresentado Entre el 65% y el 70% de los salvadoreños se opusieron a la adopción del Bitcoin, y se realizaron varias marchas de protesta en las calles. Según las últimas cifras oficiales... datos proporcionados por Bukele A finales de septiembre, más de 2 millones de personas descargaron Chivo Wallet, como parte de una agenda agresiva que también incluyó la minería de Bitcoin con energía volcánica.

Fácil de engañar

Según el sitio web oficial de Chivo, abrir una cuenta requiere escanear el DUI por ambos lados y luego realizar un reconocimiento facial para verificar la identidad del solicitante. Sin embargo, varios salvadoreños reportaron evidencia de fallas en el sistema.

Cuando Adam Flores, un youtuber salvadoreño que maneja el canalLa Gatada SVAl enterarse de los hackeos, recordó que su abuela no había abierto su Chivo Wallet y decidió usar el caso como prueba. Aunque solo tenía una fotocopia de su DUI, lo intentó de todos modos y, para su sorpresa, la aplicación aceptó el documento como válido.

Flores completó el proceso de verificación, que luego solicitó reconocimiento facial en tiempo real. El youtuber fotografió un póster en su muro de Sarah Connor, un personaje de la saga de películas "Terminator".

Segundos después, Chivo Wallet le dio la bienvenida a su abuela y liberó el incentivo de $30, según un video que Flores envió a CoinDesk como evidencia.

Otros casossubido En las redes sociales se mostró directamente cómo una simple foto al azar (en un caso, de una taza de café) fue suficiente para reemplazar el DUI y luego engañar a la prueba de reconocimiento facial.

Los salvadoreños no siempre intentan abrir sus cuentas por sí mismos. Según Montti, de Cristosal, la mayoría de los 700 salvadoreños que denunciaron robo de identidad pidieron a conocidos que intentaran transferir dinero a través de Chivo, ingresando sus números de identificación de conducir bajo los efectos del alcohol (DUI) en el campo del destinatario. Descubrieron que las direcciones estaban listas para recibir transferencias. En otras palabras, los números de ID ya estaban registrados por alguien que no era el legítimo titular.

Preocupado por una suplantación de identidad, Ramón Esquivel le pidió a un conocido que le enviara dinero a una billetera con su DUI el 11 de octubre. Para su sorpresa, la transferencia fue exitosa, a pesar de que nunca había activado su cuenta.

“Con rabia, me di cuenta de que habían usado mi DUI”, declaró Esquivel a CoinDesk, y agregó que, tras el incidente, presentó una denuncia ante la Fiscalía General. “Estoy expuesto a ser utilizado para cometer actos de lavado de dinero que quedarían registrados bajo mi identidad, comprometiendo mi integridad”, afirmó.

Otros casos mostraron que los estafadores desviaron el dinero a cuentas que ni siquiera eran las suyas, sino de otras personas hackeadas.

Atención al cliente

Hace dos semanas, Gabriela Sosa, conductora de un medio de comunicación salvadoreño, intentó activar una Chivo Wallet con su DUI, pero apareció un mensaje de error en la pantalla informándole que ya estaba registrada.

En cuanto sucedió, llamó al número de soporte oficial de Chivo, el 192. "Llamé durante varios días hasta que me dijeron que tenía que ir a un punto de Chivo", declaró Sosa a CoinDesk. El sábado pasado, acudió a ese centro de ayuda y finalmente recuperó su cuenta, pero no el dinero.

En su cuenta de Twitter, Sosa dio a conocer los detalles de la cuenta a la que se habían dirigido los $30. El nombre del titular era Michael Santacruz.

Días después, compañeros de trabajo y de universidad enviaron capturas de pantalla de ese tuit a Santacruz, quien hasta entonces no había activado su cuenta de Chivo, según mensajes de chat privados que le envió a Sosa.ella publicó.

Intentó entonces abrir su cuenta, pero una notificación indicaba que su DUI ya había sido registrado. Al igual que Sosa, Santacruz acudió a un centro de ayuda de Chivo y, tras recuperar su cuenta, se dio cuenta de que había sido utilizada para recibir dinero de cinco cuentas pirateadas, según dijo. (Intentamos contactar a Santacruz para obtener comentarios sin éxito).

Cristosal no fue la única organización no gubernamental (ONG) que abordó el problema. Acción Ciudadana, una organización sin fines de lucro especializada en auditoría social, presentó una notificación a la Fiscalía General de la República (FGR) el 12 de octubre después de que su presidente, Humberto Sáenz, y su director, Eduardo Escobar, descubrieran que hackers habían registrado sus Chivo Wallets.

Acción Ciudadana informó a CoinDesk que hasta el momento, dos semanas después de la presentación, no hubo respuesta de la FGR.

Laura Nathalie Hernández, abogada especializada en tecnología del bufete salvadoreño Legal Novis, ha estado recibiendo solicitudes de ayuda de víctimas de robo de identidad relacionadas con sus Chivo Wallets. Su primera recomendación fue publicar el incidente en redes sociales para hacerlo público y presentar una denuncia ante la Fiscalía General de la República.

Según Hernández, la entidad que gestiona la aplicación debería ser la primera a la que se debería acudir. "Pero T tenemos mucha información sobre quién es responsable", dijo, y añadió: "No sabemos quién la gestiona, si hay una tercera empresa. No ha habido transparencia".

Responsabilidad poco clara

De acuerdo con los términos y condiciones de Chivo, la autorización de una cuenta está condicionada a un proceso de conozca a su cliente (KYC) realizado por CHIVO S.A. de C.V., unaempresa privadaCreado por el gobierno para el lanzamiento de la billetera. Este proceso de verificación incluye la entrega de la información y los documentos necesarios para el pleno cumplimiento del proceso.

La responsabilidad de la empresa no está clara. Según elTérminos y condicionesLos usuarios se comprometen a no divulgar a terceros ninguna información, DUI, contraseñas ni ningún código utilizado para acceder al sitio. Sin embargo, los términos también establecen que no se responsabilizará de ninguna pérdida o daño que el usuario pueda sufrir como resultado del acceso no autorizado de terceros a su cuenta, ya sea por hackeos o pérdida de contraseñas.

El personal de soporte de Chivo no respondió las preguntas de CoinDesk sobre quién es responsable de un hackeo cuando el verdadero propietario de la cuenta no proporciona información.

La billetera añade que los servicios de verificación serán proporcionados por la empresa directamente o a través de un tercero contratado por ella para tal fin. Sin embargo, al cierre de esta edición, no había respondido a la pregunta de CoinDesk sobre qué otro tercero proporciona servicios de identificación a la plataforma.

Sosa, la conductora de medios salvadoreña, dijo a CoinDesk que finalmente recuperó su dinero y enfatizó que su queja no es contra la aplicación ni contra el gobierno de Bukele, solo que quiere crear conciencia sobre el problema.

Gutiérrez aún no ha recuperado su dinero. "Intenté contactar con atención al cliente y no me dieron respuesta, ni existe una institución que tenga claro el proceso a Síguenos en este caso", dijo.

Esquivel dijo que no está interesado ni en el incentivo de $30 ni en la aplicación del gobierno.

“Si llego a usar Bitcoin , será con una billetera en la que tendré custodiado mi dinero”, afirmó.