Hackers roban identidades con el sistema de verificación de la Chivo Wallet en El Salvador
En un primer momento Cynthia Gutiérrez se negó a descargar Chivo Wallet, la billetera digital desarrollada por el gobierno de El Salvador para el uso de bitcoin en todo el país, lanzada el 7 de septiembre.
Decidió descargar la aplicación el 16 de octubre después de enterarse por otros salvadoreños de que hackers habían activado billeteras asociadas con diferentes documentos de identidad, conocidos por sus siglas como DUI en El Salvador.
“Esto fue creciendo cada vez más, llegando a mi círculo cercano”, dijo Gutiérrez, de 28 años, a CoinDesk.
Cuando Gutiérrez introdujo sus datos personales, apareció una pantalla con una notificación que indicaba que su número de documento ya estaba asociado a una billetera. Inmediatamente, hizo una captura de pantalla, temiendo que sus datos fueran utilizados con fines ilícitos.
El caso de Gutiérrez es uno de los cientos que salvadoreños han denunciado en redes sociales y presentado ante la justicia desde septiembre, cuando bitcoin fue establecido como moneda de curso legal y Chivo Wallet empezó a utilizarse masivamente en el país.
Entre el 9 y 14 de octubre, Cristosal, una organización de derechos humanos de El Salvador, recibió 755 notificaciones de salvadoreños que denunciaron robos de identidad con sus billeteras Chivo, dijo a CoinDesk Rina Montti, directora de investigación de derechos humanos de esa entidad.
En la mayoría de esos casos los salvadoreños afectados intentaron activar sus billeteras después de enterarse del gran número de denuncias por robos de identidad.
Los hackers tienen un incentivo: cada billetera viene cargada con $30 en bitcoin proporcionados por la administración del presidente salvadoreño Nayib Bukele para incentivar a los ciudadanos a utilizar esa criptomoneda.
Al cierre de esta edición, el gobierno de El Salvador no había respondido a una solicitud de comentarios sobre las denuncias de robo de identidad realizadas en las Chivo Wallet.
Con la adopción de bitcoin, Bukele situó a su país centroamericano en el centro del debate mundial sobre el futuro del dinero. El proceso no estuvo exento de críticas, como las realizadas contra el artículo 7 de la Ley Bitcoin, que estipula que todos los comerciantes deben aceptar bitcoin como forma de pago cuando los clientes lo ofrezcan.
Posteriormente, el presidente negó que la aceptación del bitcoin fuera obligatoria. Los salvadoreños quedaron confundidos por la discrepancia entre lo que dijo el presidente y lo que decía la ley.
En agosto las encuestas mostraban que entre el 65% y el 70% de los salvadoreños se oponían a la adopción de bitcoin en el país, y se produjeron varias marchas de protesta en las calles. Según los últimos datos oficiales proporcionados por Bukele a finales de septiembre, más de 2 millones de personas habían descargado la Chivo Wallet como parte de una agresiva agenda que también incluyó la minería de bitcoin con energía volcánica.
Según el sitio web oficial de Chivo Wallet, para abrir una cuenta hay que escanear el frente y contrafrente del DUI, y luego realizar un reconocimiento facial para comprobar la identidad de quien quiere registrarse. No obstante, varios salvadoreños denunciaron que el sistema tiene fallas.
Cuando el Youtuber Adán Flores, salvadoreño dueño del canal La Gatada SV, se enteró de los hackeos, recordó que su abuela no había abierto su Chivo Wallet y decidió utilizar el caso como prueba. Aunque sólo poseía una fotocopia de su DUI, lo intentó de todos modos y, para su sorpresa, la aplicación aceptó el documento como válido.
Flores siguió con el proceso de verificación, que luego le requirió realizar el reconocimiento facial en tiempo real. El Youtuber tomó una foto de un póster en su pared de Sarah Connor, personaje de la serie de películas “Terminator”.
Segundos después la Chivo Wallet dio la bienvenida a la abuela de Flores y entregó el bono de $30, según un vídeo que Flores envió a CoinDesk como prueba.
Otros casos subidos a las redes sociales mostraron directamente cómo una foto al azar —la de una taza de café, por ejemplo— fue suficiente para sustituir el DUI y luego pasar la prueba de reconocimiento facial.
Los salvadoreños no siempre intentan abrir sus cuentas por sí mismos. Según Montti, de Cristosal, la mayoría de los 700 salvadoreños que denunciaron el robo de identidad pidieron a conocidos que intentaran transferir dinero a través de Chivo poniendo sus números de DUI como cuentas destinatarias. Descubrieron, así, que las direcciones estaban preparadas para recibir transferencias. En otras palabras: los números de identificación ya habían sido registrados por personas que no eran los legítimos propietarios.
Preocupado por la suplantación de identidad, Ramón Esquivel pidió a un conocido que enviara dinero a una billetera con su DUI el 11 de octubre. Para su sorpresa, la transferencia se realizó con éxito, a pesar de que él nunca había activado su cuenta.
“Con enojo, me di cuenta de que habían utilizado mi DUI”, dijo Esquivel a CoinDesk, y agregó que tras el episodio presentó una denuncia en la Fiscalía. “Al robar mi identidad para esta aplicación, quedo expuesta a que usen mi identidad para cometer actos de lavado de dinero que quedarían registrados bajo mi identidad, comprometiendo mi integridad“, afirmó.
Gabriela Sosa, presentadora de un medio de comunicación salvadoreño, intentó activar la Chivo Wallet con su DUI hace dos semanas, pero un mensaje de error saltó en la pantalla informándole que ya estaba registrada.
En cuanto ocurrió llamó al número oficial de soporte de Chivo, 192. “Seguí llamando durante varios días hasta que me dijeron que tenía que ir a un punto Chivo”, contó Sosa a CoinDesk. El sábado 30 de octubre acudió a ese centro de soporte y su cuenta fue finalmente recuperada, aunque no el dinero en un primer momento.
En su cuenta de Twitter Sosa dio a conocer los detalles de la cuenta a la que se habían destinado los $30. El nombre del propietario era Michael Santacruz.
Días después, compañeros de trabajo y de universidad enviaron capturas de pantalla de ese tuit a Santacruz, quien nunca había activado su cuenta de Chivo Wallet hasta entonces, según los mensajes privados que envió a Sosa y que ella publicó en su cuenta de Twitter.
Santacruz intentó abrir su cuenta, pero una notificación decía que su DUI ya había sido registrado. Al igual que Sosa, Santacruz se dirigió a un centro de ayuda de Chivo y, tras recuperar su cuenta, se dio cuenta de que ésta había sido utilizada para recibir dinero de cinco cuentas hackeadas, según dijo. Santacruz no respondió los pedidos de comentarios de CoinDesk.
Cristosal no fue la única ONG que abordó el problema. Acción Ciudadana, una organización sin ánimo de lucro especializada en auditoría social, presentó una notificación a la Fiscalía General de la República (FGR) el 12 de octubre después de que el presidente del grupo, Humberto Sáenz, y el director, Eduardo Escobar, descubrieran que hackers habían registrado sus billeteras Chivo.
Acción Ciudadana dijo a CoinDesk que hasta ahora, dos semanas después de la presentación, no hubo una respuesta de la FGR.
Laura Nathalie Hernández, abogada especializada en tecnología de la firma salvadoreña Legal Novis, ha estado recibiendo solicitudes de ayuda de víctimas de robo de identidad en sus billeteras Chivo. La primera recomendación que dio a los afectados fue publicar el tema en redes sociales para hacerlo público y también presentar una denuncia ante la FGR.
Según Hernández, la entidad que gestiona la aplicación debería ser el primer lugar al que acudir. “Pero tampoco tenemos mucha información sobre quién es el responsable”, dijo, y añadió: “No sabemos quién lo gestiona, si hay una tercera empresa. No ha habido transparencia”.
Responsabilidad poco clara
Según los términos y condiciones de Chivo Wallet, la autorización de una cuenta está condicionada a un proceso de conocimiento del cliente (KYC, por sus siglas en inglés) realizado por CHIVO S.A. de C.V., una empresa privada creada por el gobierno para lanzar la billetera. Este proceso de verificación “comprende el suministro de la información y documentos que sean requeridos para el cumplimiento a cabalidad del proceso”.
La responsabilidad de la empresa no está clara. Según los términos y condiciones, los usuarios se comprometen a “divulgar ni dar a conocer a terceros cualquier información, DUIs, contraseñas o cualquier código que utilice para acceder al sitio”. Pero los términos también establecen que “no será responsable por cualquier pérdida o perjuicio que pueda sufrir el Usuario a consecuencia de accesos por terceros no autorizados a su cuenta como consecuencia de hackeos o extravío de contraseñas”.
El personal de soporte de Chivo no respondió a las preguntas de CoinDesk sobre quién es el responsable de un hackeo en el caso de que el verdadero propietario de la cuenta no proporcione información.
Chivo añade que los servicios de verificación serán proporcionados por la empresa directamente y/o a través de un tercero contratado por la compañía para tal fin. Pero al cierre de esta edición la firma no había respondido a la pregunta de CoinDesk sobre qué otro tercero presta servicios de identificación a la plataforma.
Sosa, la presentadora salvadoreña, dijo a CoinDesk que finalmente recuperó su dinero, y aclaró que su queja no es contra la aplicación ni contra el gobierno de Bukele, sino que solamente desea generar conciencia sobre el problema.
Gutiérrez aún no ha recuperado su dinero. “Intenté contactar con el servicio de atención al cliente y no me dieron respuesta, ni hay una institución que tenga claro el proceso a seguir en este caso”, dijo.
Esquivel dijo que no le interesa ni el incentivo de $30 ni la aplicación del gobierno.
“Si acaso uso bitcoin, será con una billetera en la que tenga yo la custodia de mi dinero”, dijo.
Subscribe to The Node, our daily report on top news and ideas in crypto.
By signing up, you will receive emails about CoinDesk product updates, events and marketing and you agree to our terms of services and privacy policy.