Fraudes Clave Única Registro Civil

Existen miles de post que comparten el mismo factor: la Clave Única, P. de la identidad digital en Chile, como punto de partida de fraudes de todo tipo.Hoy día tener una cuenta de clave única es tremendamente inseguro, es una puerta abierta a la usurpación de identidades y las organizaciones criminales lo saben. La han estado utilizando para fraudes de todo tipo, a vista y paciencia de las autoridades y empresas, hace años. Lo preocupante es que todos estamos expuestos; ya no basta con cambiarla seguido, ya no basta con mantenerla en secreto; estamos expuestos por el solo hecho de tenerla.Qué es lo que está pasando? Esto no se trata de phishing, enlaces sospechosos, mala custodia de claves por parte de los titulares ni de hackers vulnerando servidores; acá existen organizaciones criminales que están obteniendo códigos de activación de Clave Única sin el consentimiento de los titulares, las autoridades lo saben. El único responsable de entregar estos códigos es el Servicio de Registro Civil e Identificación, lo que quiere decir que, ya sea con complicidad o con engaño, estas organizaciones criminales están obteniendo esta información. Esto les permiten explotar las vulnerabilidades de cualquier servicio que utiliza Clave Única como parte de su filtros de seguridad. ¿Podrían estas organizaciones estar infiltradas en los servicios públicos y otras empresas privadas? No lo sé, pero de lo que estoy seguro es que mi caso no es algo aislado. Este caso extremadamente similar. De hecho tiene que ser el mismo usurpador por el uso del IP 186.189.73.72, por las fechas y horarios de actividad).Los Hechos: El 4 de marzo a las 3:05 am recibí un correo de @Gobierno Digital Chile declarando que se había iniciado un proceso de activación de mi clave única, que incluía además el cambio de correo personal. Que significaba esto? básicamente que un tercero, sin mi consentimiento, había solicitado y obtenido de parte del Servicio de Registro Civil e Identificación, un código de activación de mi cuenta. Les adelanto el final de la historia: el usurpador logró realizar 8 transacciones millonarias con mi tarjeta de crédito del Banco Santander. Pero cómo lo hizo? el usurpador sabía perfectamente que el punto de inicio de todo era la Clave Única, eslabón más débil de la cadena, con eso podría intentar apropiarse de mi correo de la Pontificia Universidad Católica de Chile con un certificado con firma electrónica avanzada obtenido en @Ecert y luego mis cuentas de la aplicación OnePay de Transbank S.A. para hacer compras, de Servicio de Impuestos Internos (SII) para desviar la devolución de impuestos y de Latam para traspasar los puntos. Quiero aclarar que todos los organismos y empresas que estoy “etiquetando” dieron indirectamente facilidades para la comisión de este fraude financiero, por el solo hecho de incorporar como parte de sus procesos de acreditación de identidad la Clave Única, o simplemente por tener pésimos protocolos de seguridad, como es el caso de Onepay de Transbank.En el Servicio de Registro Civil e Identificación, Clave Única, Gobierno Digital, y Chile Atiende es donde está la principal brecha de seguridad digital del país; estos organismos son los responsables de administrar los procesos y sistemas de Clave Única y llevan años fallando. El tema conocido en el entorno público; me he entrevistado con encargados del Registro Civil y de Chile Atiende por teléfono y de forma presencial en Vitacura y Las Condes, y a nadie le llama mayormente la atención, es más, algunos asumen la posible existencia de “malas prácticas” de algunos funcionarios respecto al tema. Entiendo que parte del procesos de solicitud de este código de activación implica responder un “desafío de preguntas personales”, poderes notariales, huellas digitales, presentación de cedula de identidad etc. ¿Se habrán aplicado los protocolos? Es lo que, por transparencia estoy tratando de averiguar.Involucro a E-Cert Chile porque es la empresa que entregó un certificado con firma electrónica avanzada, con mi nombre y sin mí participación a una dirección de correo que no era la mía tampoco ([email protected]), y la entrega de ese certificado falso autorizó al usurpador el cambio de mis credenciales de acceso mi correo @uc.cl. Este tipo de certificados se solicita online con Clave Única. Teniendo a la vista los problemas que tiene hace años la Clave Única suena razonable usarla pare reiniciar claves de correo? Claramente no. Pero hay más… en el proceso había que responder un “desafío de preguntas personales”; entonces, de nuevo, cómo fue posible que el usurpador respondiera otro set de preguntas supuestamente personales? además del que tuvo que responder en el registro civil? Me acerqué a pedir explicaciones a las oficinas de Ecert, me derivaron al área legal correspondiente, pero que yo sepa, no se han involucrado para nada. La verdad es que a la empresa no le interesa saber si están certificando realmente una identidad, solo le preocupa cumplir con la ley durante el proceso, y los noté lejos de estar interesados en entregar mayores niveles de seguridad al usuario. El hecho imperdonable es que Ecert falló en lo más esencial de un servicio para el cual ha sido certificada por el Estado de Chile, que es validar una identidad de forma remota para que la gente pueda firmar documentos tal cual lo haría presencialmente frente a un notario. Además, lo hace faltando a sus propios protocolos, que afirman que este tipo de certificados “no están diseñados ni autorizados para situaciones que requieran un rendimiento a prueba de fallos”. El correo electrónico es la puerta de acceso a bancos y muchos otros servicios y plataformas sensibles y su manejo es una situación que requiere sin ninguna duda un “rendimiento a prueba de fallos”. Todo esto pone en tela de juicio la utilización de estos certificados electrónicos de Ecert como medio válido para acreditar la intención de un titular respecto a un trámite, y es tremendamente cuestionable seguir ofreciendo el servicio tal cual después de esto. El servicio de Ecert es poco ético, ya que, dado los antecedentes por todos conocidos, el cambio de credenciales debiera estar explícitamente restringido o sujeto al menos a mayores controles, independiente de cualquier M. básico dispuesto por la Ley. O será que un contrato millonario con la Universidad justifica un daño colateral como este? Para mi la empresa Ecert está en falta con la Ley N° 20.393, N° 19.799, N° 19.628 y N° 19.496. El que necesita los argumentos me los pide.Involucro a @TransUnion, porque presta el servicio desafío de preguntas personales a Ecert. (y probablemente al Registro Civil, pero no tengo certeza de ello). Si fue realmente aplicado el desafío de preguntas personales al usurpador (como la empresa afirma), cómo pudo éste responder correctamente? Será posible que el usurpador reuniera tanta información como para conocer todas las preguntas y respuestas posibles; se habrá coludido con alguien que trabaja en esta empresa? Este servicio de preguntas personales es un desastre, solo certifica que “alguien” respondió correctamente unas preguntas, pero está lejos de validar una identidad. Este servicio no es confiable y ya nadie debiera contratarlo. Lo que está claro es que el usurpador tenía la información de antemano o tenía cómo obtenerla de forma rápida, porque en menos de un minuto respondió correctamente. Ecert dice no tener conocimiento del set de preguntas que se realizaron. Llamé por teléfono a TransUnion y he mandado correos pidiendo explicaciones sin respuestas a la fecha.Involucro a la Universidad Católica y su dirección de informática porque el usurpador se apropió de mi cuenta de correo electrónico @uc.cl mediante un método de recuperación de clave que la Universidad puso a disposición. Este proceso incluye una validación de identidad que involucra la clave única y el certificado con firma electrónica avanzada emitido por Ecert. La Universidad falló al ofrecer un método poco confiable para reiniciar la clave, y prueba de ello es que durante la segunda semana de marzo este tipo de proceso ya no está disponible en la web de la universidad. Contactada la dirección de informática me derivaron al área legal correspondiente, pero que yo sepa, no se han involucrado para nada.Involucro a Transbank y su app. OnePay, ya que el usurpador, con mi cuenta de correo en su poder, reseteó mi clave de la aplicación de pagos online OnePay, enroló otro teléfono móvil distinto al mío y reseteó mi pin de seguridad que se usa para validar toda transacción. Como puede ser posible que la aplicación resetee mi pin de seguridad, es una locura. Además descubrí que todas las tarjetas asociadas a la aplicación se bloquean cuando se enrola un nuevo teléfono móvil, cosa buena, pero resulta inverosímil que el usurpador, estando dentro de la aplicación pueda volver a activar las tarjetas sin ningún problema. Esta aplicación tiene fallas increíbles. Fue la que finalmente dilapidó cualquier posibilidad de impedir que el usurpador llegara hasta mi tarjeta de crédito para realizar 8 transacciones millonarias.Involucro a Banco Santander, por la tarjeta de crédito involucrada. Si bien el sistema del banco bloqueo 4 de las 8 transacciones, no actúo con diligencia, y habiendo antecedentes evidentes de que trataba de transacciones de perfil sospechoso, por el horario (3:40 am), por el monto (que cuadruplica mi estado de cuenta mensual) y por lo cantidad (8 transacciones millonarias la mayoría de ellas realizadas los primeros 15 minutos). Todas las transacciones debieran haberse anulado o al menos dejado en estatus de “standby” hasta que yo diera un visto bueno, y dado el caso, de forma presencial directamente con mi ejecutiva del banco. Soy cliente del banco hace más de 10 años, información sobre mi comportamiento de compra había de sobra como para actuar con sentido común.Qué pasa con el Banco S. y la Ley N° 20.009? Nada. Mi denuncia y solicitud de reembolso (3113711) de acuerdo a la ley fue ingresada el 11 de marzo y fue rechazada el 10 de abril, bajo el argumento de que todos los mecanismos de seguridad del banco actuaron correctamente; además me informaron que han iniciado acciones legales en el juzgado de policía local en mi contra por intento de fraude al banco… si… ese es mi banco. Mi apelación fue ingresada el 16 de abril sin respuestas hasta la fecha y estoy a la espera de la notificación del juzgado que corresponda para decir lo que tenga que decir, que no es poco.Qué ha pasado con mis denuncias en el ministerio público? (RUC: 2500328xxx-x, RUC: 2500346xxx-x, RUC: 2500437xxx-x) Nada. Fueron archivadas en el momento en que me levanté de esa silla donde hice la denuncia. He ingresado información para lograr que se reabra el caso pero es aparentemente imposible, seguramente hay casos más importantes… la verdad es que nos hemos llenado de *******s , narcotraficantes y asesinos y violadores en este país y no estamos dando el ancho por ninguna parte.