Las primeras utilizan la información, fundamentalmente, para ubicar deudores morosos e iniciar procesos de cobro. Los segundos, para vender productos y servicios.

Además de las de operadores celulares, otras bases de datos apetecidas por la buena calidad de su información son las de las empresas promotoras de salud (EPS).

Esta actividad es ilegal, y cualquiera involucrado, ya sea quien vende el acceso, el que paga por él, así como quien compra la información, estaría incurso en uno o varios delitos.

Esta compra-venta de información personal, que se ha convertido en un verdadero tráfico masivo, mercado negro, es el resultado de la vulnerabilidad de las bases de datos, como la de Cafesalud, denunciada por Pulzo hace algunas semanas.

Las expresiones ‘tráfico masivo’ o ‘mercado negro’ no son exageradas. Cada día los colombianos reciben millones de llamadas telefónicas de ‘call centers’, y no saben –ni nadie les explica– de dónde salió su información de contacto.

Bases de datos de dudosa procedencia se consiguen hasta en las afueras del centro comercial Unilago, como si se tratara de programas piratas de computador.

Pero en el ingreso a las bases de datos de los operadores celulares, Claro, Movistar y Tigo, y ciertas EPS (para ‘actualizar la información de contacto’) hay un elemento relativamente novedoso: quienes acceden no se toman el trabajo de ‘hackear’ directamente los sistemas, sino que compran las claves de acceso a empleados, que pueden ser los mismos que atienden a los clientes en los centros de servicio o a los pacientes en las EPS.

Una de las personas que se dedica a esta actividad asegura que el último acceso lo compró por un par de millones de pesos —con una mensualidad de mantenimiento de unos miles de pesos—, y no es el único acceso que tiene. Ni él tampoco es el único que se dedica a esta actividad. Asegura que solo en su círculo puede haber hasta 50 personas.

La industria del encargo de actualizar datos

Lo que hace cualquiera de estos individuos es recibir el encargo de ‘actualizar los datos’ de un lote de cédulas que le entregan, ya sea casas de cobranzas o ‘call centers’. En el caso de las casas de cobranzas, se trata de deudores morosos de instituciones financieras y otros negocios. En el caso de los ‘call centers’ los números de cédula corresponden a clientes potenciales que previamente compraron o pagaron un producto o servicio con tarjeta de crédito, y cuyo registro el ‘call center’ adquirió al negocio que hizo la transacción (un distribuidor celular, por ejemplo).

La compra de registros de usuarios que hicieron la transacción tampoco es legal, pero es frecuente. En uno de los pedidos para actualizar la información de contacto a partir de la cédula, una de estas personas notó que en su totalidad era de tarjetahabientes de varios bancos, lo que lo llevó a pensar que la información fue filtrada por gente dentro de los mismos. El ‘call center’ que hizo la solicitud ‘vende’ tarjetas de crédito.

La solicitud máxima que he recibido es de 300.000 registros para entregar en un mes, pero no recibo encargos de menos de 10.000. El costo unitario por actualizar la información de contacto de cada registro puede ir de 2.500 hasta 8.000 pesos, dependiendo del cliente y el volumen. El 70% de las actualizaciones las hago con las bases de datos de los celulares, solo el 30% con otras bases de datos, por ejemplo de EPS”,

dice una de las personas que se mueven en este mercado.

Alguno de ellos es tan próspero en el negocio que, dependiendo de la época, puede tener entre 5 y 10 colaboradores, que hacen el ingreso a la base de datos para actualizar la información de contacto.

Rastrear este tipo de actividad de los ‘call centers’ no es fácil, pero tampoco imposible, pues los cobros y pagos no se hacen por cuentas por ‘actualizar información de contacto’ sino por ‘servicios profesionales’, ‘servicios informáticos’ u otros conceptos.

A pesar de que se puede tener acceso a mucha información confidencial, en realidad la que les importa a estas personas es la de contacto, e ir más allá no les parece ‘ético’.

Uno de ellos, sin embargo, dijo haber hecho trabajo para una reconocida firma de abogados, donde también ubicó bienes para embargos.

La cuota de ‘hackeo’

La cuota de ‘hackeo’ corre por cuenta del ingreso a la red interna de cada compañía (la intranet), pero asegura que esto es relativamente fácil, y presume de los trucos técnicos para no dejar huella:

“Una de las formas en que las entidades protegen sus bases de datos es que los enlaces que se usan para acceder a las intranets (redes internas) solo se puedan abrir en la IP del negocio o de la oficina, pero en realidad lo dejan habilitado para abrirse en cualquier parte. Yo me protejo no usando mi propia IP, usando proxi VPN (red privada virtual), o usando formas de no volverla rastreable y desde un portátil (no un computador de escritorio). También uso sistemas operativos virtualizados, para evitar que quede algún registro de mi portátil. Luego elimino mi sistema operativo virtualizado, formateo el equipo y listo”, dice.

Prueba de la debilidad de la seguridad de los sistemas de los operadores de telefonía celular y EPS es el hecho de que ni se dan por enteradas de que hay acceso en horas inusuales (horarios de no atención al público) y de forma masiva. En un solo ingreso, uno de estos intrusos puede tener acceso a 10.000 o 20.000 registros, que pueden ser revisados o copiados.

Dado el carácter anónimo de las fuentes usadas en esta investigación, la única forma que encontró Pulzo de validar sus hallazgos fue haciendo pruebas y documentándolas (al final, aparecen los videos de prueba de acceso a las bases de datos de los operadores celulares, entre otros).

Como si fuera una firma de cobranzas o un ‘call center’, Pulzo pidió a personas que se mueven en el tráfico de datos personales que, a partir de números de cédula, le actualizara la información de contacto y le consiguiera todo lo que pudieran de un grupo de periodistas y, lo que es más importante, del propio superintendente de Industria y Comercio (SIC), Pablo Felipe Robledo, quien se prestó para el experimento.

La SIC es la autoridad legal competente en materia de protección de datos personales. Aunque para las personas que se dedican a este oficio solo es relevante la información de contacto, se solicitó toda la demás posible para demostrar cómo estaba expuesta.

En todos los casos, los intrusos tuvieron acceso a las bases de datos de los operadores celulares (Claro, Tigo y Movistar, y TV por suscripción, en el caso de Claro) y varias EPS. La información sensible de los periodistas incluía diagnósticos y exámenes de laboratorio.

Mientras lo entrevistaba, Pulzo le mostró a Robledo algunas de las cosas que se podrían obtener en tan solo unos minutos con su número de cédula: cuenta de Internet fijo, cuenta de un teléfono celular, entre otras.

Metidos en las bases de datos de los celulares

Con la cédula del Superintendente en Claro

Metidos en Tigo

Metidos en Movistar

Metidos otra vez en Claro

El papel de la Superintedencia

Robledo se mostró sorprendido por la información personal restringida de los ciudadanos que podía estar ilegalmente en las manos de un particular, y aseguró que esta es una de sus actuales preocupaciones, pero explicó la forma en que actúa la Superintendencia, la responsabilidad de los terceros, como los empresarios, y las herramientas que aún necesita para cumplir su función en esta área.

La Superintendencia actúa, fundamentalmente, a partir de denuncias, como la hecha por Pulzo; o usando su poder de investigación donde sospecha que puede encontrar irregularidades.

Es absolutamente imposible que una autoridad que se dedique a estos temas en Colombia, o en cualquier parte del mundo, tenga un ojo en todo tratamiento de datos, en todo tráfico de un producto en el mercado, en toda relación de consumo, en todo uso de una marca, porque, primero, no es ni lógico, ni razonable o inteligente hacerlo así, y no habría personal suficiente, independientemente del número, para tener un ojo encima de cada ciudadano”,

dice Robledo.

Y tiene razón, el número de bases de datos con información sensible es monstruosamente grande (pueden ser miles), tal como lo ha probado el registro de ellas ante la Superintendencia, cuyo plazo, inicialmente fijado para el 8 de noviembre, fue ampliado hasta el próximo mes de junio.

Pero ese registro, sí le permitirá a la Superintendencia, hacer lo que Robledo llama una ‘supervisión inteligente’: hay información médica más sensible que otra (por ejemplo, de pacientes con enfermedades contagiosas); la información sobre menores de edad, etc.

Más allá de la responsabilidad de la Superintendencia está la de los empresarios que manejan los datos personales de los colombianos.

“Esperaría un comportamiento serio de los empresarios… de quienes administran las bases de datos… que no violen la ley ‘habeas data’, que regula un derecho constitucional fundamental… que sean diligentes en cuanto establecer unas medidas de seguridad idóneas y necesarias, como lo obliga la ley estatutaria para evitar filtraciones indebidas de información o, que cuando hayan vulnerabilidades a sus sistemas, logren advertirlas y las reporten a la Superintendencia de Industria y Comercio”, dice Robledo.

Los dientes que necesita la Superintedencia

El problema de la Superintendencia en el manejo de datos personales es que la estrategia de tomar casos paradigmáticos, y sancionar a los responsables con multas multimillonarias para “mandar un mensaje” al mercado, como ocurrió en el terreno de la libre competencia con los carteles del azúcar, los cuadernos y los pañales, no funciona porque las multas son relativamente bajas: 2.000 salarios mínimos, unos 1.400 millones de pesos.

(Aquí hay que recordar que además de la protección de datos personales, la ley también le asigna a la Superintendencia funciones en la propiedad industrial, la libre competencia y la protección del consumidor).

En una lógica perversa, a muchos empresarios les puede salir más barato pagar una multa de este monto que hacer inversiones de millones de dólares para proteger la información de los usuarios.

Como parámetro de comparación, la multa a los ingenios azucareros por su cartel ascendió a 320 mil millones de pesos, el 7% de sus ingresos operacionales.

Por eso Robledo cree que hay que tramitar una ley en el Congreso que le permita aumentar la capacidad sancionatoria a la Superintendencia en el tema de ‘habeas data’.

Suponiendo que se aprobaran multas tan grandes como las existentes en el tema de la libre competencia, la Superintendencia podría cobrar hasta 100.000 Salarios Mínimos Legales Mensuales Vigentes; es decir, casi 69 mil millones de pesos, a precios de hoy. Montos como estos tal vez sí tendrían un carácter disuasivo y ejemplificador, por lo menos más que solo 1.400 millones de pesos.

¿Cómo serían las sanciones para ‘call centers’ si se logra establecer su responsabilidad en la forma en que están armando sus bases de datos, o para las casas de cobranzas si se demuestra cómo actualizan la información de contacto de deudores morosos?

Pulzo entró en contacto con los voceros de Claro, Tigo y Movistar, así como con las organización que aglutinan a los ‘call centers’ y las empresas de cobranzas.

Reacciones de operadores celulares, gremio de ‘call center’ y de cobranzas

Voceros de Tigo aseguraron que están investigando el tema.

Los voceros de Movistar aseguraron que “la compañía cuenta con los mecanismos necesarios para garantizar la protección de su información en toda nuestra cadena de valor, altos estándares de seguridad internos y que, además, garantizan el cumplimiento estricto de las obligaciones legales… Cualquier persona que manipule por fuera de nuestra política será sancionada acorde con la misma, y con las normas legales vigentes que protegen los datos de nuestros clientes”.

Ana Karina Quessep, directora ejecutiva de la Asociación Colombiana de Contact Centers & BPO, dijo a través de un comunicado que “Una de nuestras razones de ser es el procurar y promover las buenas prácticas del sector. Manejamos un código de ética y autorregulación, y también promovemos estándares de alta calidad en el manejo y la seguridad de la información”. Aclaró, sin embargo, que aunque su organización aglutina un número importante de empresas, no las reúne a todas.

La directora ejecutiva de la Asociación Colombiana de la Industria de la Cobranza (Colcob), Gloria Ureña, dijo que “las entidades asociadas a Colcob, que son cerca de 60, que manejan cerca del 80% de los créditos colocados por el sector financiero actúan como una extensión de esas entidades originadoras de crédito, llámense bancos o sector real, y se rigen por las políticas de esas mimas organizaciones. En consecuencia, solamente se contacta a los teléfonos que son suministrados por el originador del crédito, que los tiene en sus bases de datos y en bases de datos legales. Hoy en día, la regulación de protección de datos personales impide esas prácticas de antaño de buscar en bases de datos del mercado negro teléfonos para hacer gestión de recuperación de créditos. No nos apartamos que puedan existir entidades que lo hagan, pero las entidades que pertenecen a Colcob se rigen por un código de ética, buenas prácticas y gobiernos corporativos para hacer gestión de recuperación de créditos, que las obliga a cumplir con las normas de protección de datos personales y solamente hacer gestión en los teléfonos y las direcciones que les envían los originadores de los créditos”.

Claro no dio respuesta a Pulzo.

LO ÚLTIMO