La madrugada del 2 de febrero de este año (2024), mientras Lucía dormía, le descontaron 1.800 bolivianos de su cuenta bancaria debido a dos “consumos no reconocidos”. Ella no se percató de esas transacciones hasta las 10:20, cuando no pudo pagar por un servicio con su tarjeta de débito. Su saldo era insuficiente. Ese 2 de febrero también empezó el calvario de idas y vueltas de Lucía, de reclamos y de respuestas del Banco Mercantil Santa Cruz (BMSC), que tres meses después resultaron en el reconocimiento de “transacciones no reconocidas” por parte de ese banco, ya que su caso no fue el único. Entre abril y mayo de este año, se conformaron grupos de afectados en WhatsApp en Santa Cruz (1.000 personas), Cochabamba (200), La Paz (150) y Tarija (50), muchos de ellos clientes del Banco Mercantil Santa Cruz. La respuesta oficial de lo que pasó aún no se conoce, pero testimonios de los afectados, datos y análisis de profesionales permiten concluir que la seguridad de los datos de un grupo de clientes del banco se vio comprometida. Y lo sucedido también permitió identificar debilidades de diferente tipo en el seguimiento y manejo de estas contingencias. La adecuada, oportuna y completa atención de esta clase de problemáticas es hoy imprescindible en un contexto de mayor uso de tarjetas electrónicas y de avance vertiginoso de la tecnología. Los ciberdelincuentes, por su lado, no se quedan atrás y van adquiriendo más conocimientos y destrezas para cometer delitos. Desde que comenzaron a operar con chips de seguridad, el número de tarjetas de débito aumentó en Bolivia de 2,34 millones en 2014 a 6,4 millones el año pasado. Las razones, la mayor cantidad de establecimientos y comercios que aceptan pagos a través de estas herramientas, la implementación de la tecnología contactless y de los dispositivos POS, y el creciente dinamismo del comercio electrónico, según un informe del Banco Central de Bolivia (BCB). En 2022, el 17% de los usuarios utilizaron estas herramientas para compras por internet, un porcentaje que va creciendo con el paso del tiempo, de acuerdo con encuestas de la Autoridad de Supervisión del Sistema Financiero (ASFI). ¿UNA BRECHA DE SEGURIDAD? “Podríamos estar viendo una brecha de seguridad dentro de la entidad bancaria o más”, apuntó Nicole Sánchez, coordinadora de Protección de Datos de la Fundación Internet Bolivia. El 5 y 8 de noviembre, respectivamente, Guardiana solicitó a la ASFI y al Mercantil Santa Cruz conocer las causas de lo que les ocurrió a clientes de ese banco en al menos cuatro departamentos del país, pero ni la entidad supervisora ni la empresa atendieron este requerimiento. La ASFI es una entidad del Estado que tiene entre sus responsabilidades velar por los derechos del consumidor financiero, por lo que las operaciones a través de medios electrónicos de la banca “deben cumplir las medidas de seguridad que garanticen la integridad, confidencialidad, autenticación y no repudio” (Art. 124, Ley 393). Todos los bancos, por su lado, están obligados por ley a ser transparentes. PAGOS A CUENTAS EXTRANJERAS Los dos débitos no reconocidos por un valor de 1.800 bolivianos del 2 de febrero no fueron los únicos que alarmaron a Lucía (nombre cambiado por solicitud de la víctima). Tras una primera revisión a sus extractos de cuenta, ella identificó con sorpresa 48 pagos no reconocidos por un total de 6.734,38 bolivianos. Estos desembolsos irregulares con su tarjeta de débito fueron realizados a sitios que ofrecen servicios premium como ChatGPT, Telegram y YouTube, pagos que hasta entonces no habían sido notados porque se trataba de montos menores y porque ella no revisaba sus extractos mensuales. Lo mismo sucedió, en general, con los otros afectados, que también reportaron débitos a cuentas extranjeras como Google, Uber y TikTok. A continuación, el detalle de transacciones no reconocidas de otro de los afectados: Juan Fernando Rocabado, abogado de Lucía, contó que el mismo 2 de febrero presentaron un primer reclamo ante el Mercantil Santa Cruz. Sin embargo, pese a que la tarjeta de su cliente estaba asegurada y “cubría fraudes de compras por internet”, la respuesta que recibieron no fue la esperada. Lo mismo pasó con la ampliación de reclamo que presentó el abogado el 9 de febrero, con el segundo reclamo del 15 de marzo y con el recurso ante la ASFI registrado el 22 de marzo. En ese interín y ya con dos rechazos del banco a su primer reclamo, el abogado Rocabado buscó en redes sociales a personas que hubiesen sufrido también este tipo de débitos, para hacer causa común y adjuntar esta información al recurso que luego presentó ante la entidad reguladora. Así se constituyó rápidamente el grupo de WhatsApp de Santa Cruz –el más numeroso (1.000 personas)–, en el que varios miembros llegaron a organizar una protesta ante la agencia del banco en el mall Las Brisas, en la capital cruceña. La movilización, efectuada el 29 de abril, hizo público el problema y llamó la atención de algunos medios. Esa misma fecha y mientras se organizaba una segunda protesta, esta vez en Cochabamba, el Mercantil reconoció “inconvenientes… causados por ciertas transacciones no reconocidas en plataformas digitales en el exterior” e informó que estaba atendiendo cada reclamo para proceder a la devolución “si correspondiera” a la brevedad posible. “Estos son eventos inusuales ajenos al banco, que están siendo atendidos con máxima prioridad”, aclaró. Esta respuesta difiere de la que ofreció dicho banco como respuesta al primer reclamo de Lucía (la carta completa se la puede ver más abajo): “…para evitar ser víctimas de transacciones fraudulentas, no deseadas o phishing, se pusieron anuncios preventivos en nuestra página web y redes sociales, exhortando a los clientes a tomar los recaudos necesarios que eviten ese tipo de eventos (…). Es importante mencionar que la diferencia de las transacciones no reconocidas…están siendo gestionadas a través de la compañía aseguradora. Al respecto, debemos aclarar que la responsabilidad de nuestra entidad se limita en, una vez recibida su comunicación, transmitir dicha información junto con la documentación de respaldo a la aseguradora…” (BMSC,
