Wallet Chivo de El Salvador: Ladrones de identidad hacen de las suyas

Wallet Chivo hackers
Los hackers han hecho de las suyas con la Wallet Chivo

Al principio, Cynthia Gutiérrez se negó a descargar la Wallet Chivo desarrollada por el gobierno de El Salvador para el uso de bitcoin en todo el país y lanzada el 7 de septiembre.

Decidió abrir la aplicación el 16 de octubre después de enterarse por otros salvadoreños de que los hackers habían activado las billeteras asociadas a los números de nueve dígitos de sus documentos de identidad, conocidos como DUI por sus siglas en español.

“Esto fue creciendo cada vez más, llegando a mi círculo cercano”, dijo Gutiérrez, de 28 años.

Cuando Gutiérrez introdujo sus datos personales, apareció una pantalla diciendo que su número de documento ya estaba asociado a un monedero. Inmediatamente, hizo una captura de pantalla, temiendo que sus datos fueran utilizados con fines ilícitos.

“Este número de documento ya está registrado”. El mensaje, en español, que recibió Gutiérrez cuando intentó activar su cartera (Cynthia Gutiérrez)

El caso de Gutiérrez es uno de los cientos que los salvadoreños han denunciado en las redes sociales y a los defensores locales desde septiembre, cuando se estableció el bitcoin como moneda de curso legal y el Chivo comenzó a utilizarse masivamente en el país.

Entre el 9 y el 14 de octubre, Cristosal, una organización de derechos humanos de El Salvador, recibió 755 notificaciones de salvadoreños que denunciaron el robo de identidad con sus billeteras Chivo. Así lo declaró Rina Montti, directora de investigación de derechos humanos del grupo.

En la mayoría de esos casos, los salvadoreños afectados trataron de activar sus billeteras después de enterarse del gran número de personas que denunciaban el robo de sus identidades.

Los hackers tenían un incentivo: Cada cartera venía cargada con 30 dólares de bitcoin, proporcionados por la administración del presidente salvadoreño Nayib Bukele para animar a los ciudadanos a utilizar la criptodivisa.

Al cierre de esta edición, el gobierno de El Salvador no había respondido a una solicitud de comentarios sobre las denuncias de robo de identidad relacionadas con los monederos.

Con la adopción del bitcoin, Bukele situó a su país centroamericano en el centro de un debate mundial sobre el futuro del dinero. El proceso no estuvo exento de críticas, como las realizadas contra el artículo 7 de la ley, que estipula que todos los comerciantes deben aceptar el bitcoin como forma de pago cuando los clientes lo ofrezcan.

El presidente negó posteriormente que la aceptación del bitcoin fuera obligatoria. Los salvadoreños quedaron desconcertados por la discrepancia entre lo que dijo el presidente y lo que decía la ley.

En agosto, las encuestas mostraban que entre el 65% y el 70% de los salvadoreños se oponían a la adopción del bitcoin, y se produjeron varias marchas de protesta en las calles.

Según los últimos datos oficiales facilitados por Bukele a finales de septiembre, más de 2 millones de personas se descargaron el Chivo Wallet, como parte de una agresiva agenda que también incluía la minería de bitcoin con energía volcánica.

Wallet Chivo Error
Muchos usuarios se dan cuenta de que, sin estar regitrados, ya han hecho transacciones

Wallet Chivo y la facilidad para  engañar

Según el sitio web oficial de Chivo, para abrir una cuenta hay que escanear el DUI por delante y por detrás, y luego realizar un reconocimiento facial para comprobar la identidad del registrante. Pero varios salvadoreños denunciaron que el sistema tiene fallos.

Cuando Adán Flores, un YouTuber salvadoreño que dirige el canal La Gatada SV, se enteró de los hackeos, recordó que su abuela no había abierto su Chivo Wallet y decidió utilizar el caso como prueba. Aunque sólo tenía una fotocopia de su DUI, lo intentó de todos modos y, para su sorpresa, la aplicación aceptó el documento como válido.

Flores siguió con el proceso de verificación, que luego le pidió el reconocimiento facial en tiempo real. El YouTuber tomó una foto de un póster en su pared de Sarah Connor, un personaje de la serie de películas “Terminator”.

Segundos después, Chivo Wallet dio la bienvenida a su abuela y liberó el incentivo de 30 dólares, según un vídeo que Flores posee como prueba.

Otros casos subidos a las redes sociales mostraron directamente cómo una foto al azar -en un caso, de una taza de café- fue suficiente para sustituir el DUI y luego engañar la prueba de reconocimiento facial.

Los salvadoreños no siempre intentan abrir sus cuentas por sí mismos. Según Montti, de Cristosal, la mayoría de los 700 salvadoreños que denunciaron el robo de identidad pidieron a conocidos que intentaran transferir dinero a través de Chivo poniendo sus números de DUI en el campo de destinatario. Descubrieron que las direcciones estaban preparadas para recibir transferencias.

En otras palabras, los números de identificación ya estaban registrados, por alguien que no era el propietario legítimo.

Preocupado por la suplantación de identidad, Ramón Esquivel pidió a un conocido que enviara dinero a una cartera con su DUI el 11 de octubre. Para su sorpresa, la transferencia se realizó con éxito, a pesar de que nunca había activado su cuenta.

Wallet Chivo Hacker
Los hackers han robado la identidad de muchos en El Salvador

“Con rabia, me di cuenta de que habían utilizado mi DUI”, dijo Esquivel y agregó que tras el episodio presentó una denuncia en la Fiscalía. “Estoy expuesto a que me utilicen para cometer actos de lavado de dinero que se registrarían bajo mi identidad, comprometiendo mi integridad”, afirmó.

En otros casos, los defraudadores desviaron el dinero a cuentas que ni siquiera eran suyas, sino de otras personas pirateadas.

Atención al cliente

Hace dos semanas, Gabriela Sosa, presentadora de un medio de comunicación salvadoreño, intentó activar una Cartera Chivo con su DUI, pero un mensaje de error saltó en la pantalla informándole de que ya estaba registrada.

En cuanto ocurrió, llamó al número oficial de soporte de Chivo, el 192. “Seguí llamando durante varios días hasta que me dijeron que tenía que ir a un punto Chivo”, cuenta Sosa. El pasado sábado, acudió a ese centro de ayuda y su cuenta fue finalmente recuperada, pero el dinero no.

En su cuenta de Twitter, Sosa dio a conocer los detalles de la cuenta a la que se habían dirigido los 30 dólares. El nombre del propietario era Michael Santacruz.

Días después, compañeros de trabajo y de universidad enviaron capturas de pantalla de ese tuit a Santacruz, que nunca había activado su cuenta de Chivo hasta entonces, según los mensajes de chat privados que envió a Sosa y que ella publicó.

Intentó, entonces, abrir su cuenta pero una notificación decía que su DUI ya había sido registrada. Al igual que Sosa, Santacruz se dirigió a un centro de ayuda de Chivo y, tras recuperar su cuenta, se dio cuenta de que había sido utilizada para recibir dinero de cinco cuentas pirateadas, según dijo. (Los intentos de contactar con Santacruz para que hiciera comentarios fueron infructuosos).

Transacciones realizadas desde la cartera de Michael Santacruz. (Gabriela Sosa)

Cristosal no fue la única organización no gubernamental (ONG) que abordó el problema. Acción Ciudadana, una organización sin ánimo de lucro especializada en auditoría social, presentó un aviso a la Fiscalía General de la República (FGR) el 12 de octubre después de que el presidente del grupo, Humberto Sáenz, y el director, Eduardo Escobar, descubrieran que los hackers habían registrado sus billeteras Chivo.

Acción Ciudadana dijo que hasta ahora, dos semanas después de la presentación, no hubo respuesta de la FGR.

Wallet Chivo Bukele
Ni Chivo, ni el presidente Bukele se han pronunciado sobre el robo de identidad

Laura Nathalie Hernández, abogada especializada en tecnología de la firma salvadoreña Legal Novis, ha estado recibiendo solicitudes de ayuda de víctimas de robo de identidad con respecto a sus Chivo Wallets. La primera recomendación que dio a los afectados fue publicar el incidente en las redes sociales para hacerlo público y también presentar una denuncia ante la Fiscalía General de la República.

Según Hernández, la entidad que gestiona la aplicación debería ser el primer lugar al que acudir y añadió que no ha habido mucha  transparencia en los procesos.

Responsabilidad poco clara

Según los términos y condiciones de Chivo, la autorización de una cuenta está condicionada a un proceso de conocimiento del cliente (KYC) llevado a cabo por CHIVO S.A. de C.V., una empresa privada creada por el gobierno para lanzar el monedero.

El  proceso completo de verificación implica el suministro de datos e  información, además de  documentos necesarios para el pleno cumplimiento del mismo.

La responsabilidad de la empresa no está clara. Según los términos y condiciones, los usuarios se comprometen a “no revelar o divulgar a terceros ninguna información, DUIs, contraseñas o cualquier código utilizado para acceder al sitio”.

Pero los términos también establecen que “no será responsable de ninguna pérdida o daño que el usuario pueda sufrir como resultado del acceso no autorizado de terceros a su cuenta como resultado de hackeos o pérdida de contraseñas”.

El personal de soporte de Chivo no ha dado información a los medios  sobre quién es el responsable de un hackeo en el que el verdadero propietario de la cuenta no proporciona información.

El monedero añade que los servicios de verificación serán proporcionados por la empresa directamente y/o a través de un tercero contratado por la empresa para tal fin. Pero al cierre de esta edición, no se había producido pronunciamiento oficial de Chivo.

Sosa, la presentadora de los medios salvadoreños, declaró que, finalmente, recuperó su dinero y enfatizó que su queja no es contra la aplicación ni contra el gobierno de Bukele, sólo que quiere concienciar sobre el problema.

Gutiérrez aún no ha recuperado su dinero. “Intenté contactar con el servicio de atención al cliente y no me dieron respuesta, ni hay una institución que tenga claro el proceso a seguir en este caso”, dijo.

Esquivel dijo que no le interesa ni el incentivo de 30 dólares ni la aplicación del gobierno. “Si uso bitcoin será con una billetera en la que tengo la custodia de mi dinero”, dijo.

Related Posts