Netflix es la abanderada en la revolución de la televisión por internet. Sus números cada vez son más grandes. Al cerrar 2018, la plataforma de streaming, y ahora exitosa productora de contenidos, reportó alrededor de 150 millones de suscriptores pagos a nivel mundial. No obstante, a pesar de su tamaño y éxito, esto no ha impedido que millonarios fraudes se hagan usando su nombre e incluso su propia plataforma.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
Desde hace unos días, varios usuarios colombianos en Twitter han reportado bajo la etiqueta #NetflixNoMeTumben que en sus extractos bancarios aparecen cobros por parte de Netflix, aunque ellos no han realizado ninguna suscripción al servicio. Este problema no es de una institución bancaria específica. El Espectador supo de varios afectados con cuentas en Bancolombia, Colpatria, Davivienda y otras.
De acuerdo con los testimonios, al hacer el reclamo a las instituciones bancarias donde tienen sus cuentas, estas respondieron que no tienen ninguna responsabilidad porque la solicitud de cobro la hizo PayU, una pasarela de pagos online que se encarga de cobrar a los usuarios y de entregar ese dinero a quien ofrece el producto o servicio.
Esta empresa, que tiene representación en 16 países y una de sus bases en Colombia, remite a los denunciantes a Netflix. Después de un largo proceso, el servicio de streaming sí responde. La multinacional bloquea la cuenta que fue usada para la estafa —supuestamente la pone en una lista negra— y procede a devolver el dinero a las víctimas.
Sin embargo, la debitación seguirá ocurriendo sin que nadie le ponga un freno si el afectado nunca se entera del cobro que le están haciendo mensualmente por un servicio que no usa. Es decir, el robo continuará y ninguna institución hará algo para detenerlo. ¿Qué es lo que está pasando? ¿Por qué el servicio de Netflix permite que ocurran estas irregularidades? ¿Quiénes están detrás de esta estafa?
Todo parece indicar que los criminales se están aprovechando del laxo sistema de comprobación de pagos con cuentas de ahorros y corriente que tiene Netflix en Colombia. Al escoger esta forma de cobro, le piden al nuevo usuario que ingrese sus datos, su número de cuenta y el banco donde tiene dicho servicio. Tan solo suministrando esta información básica, ya se obtiene una cuenta de Netflix completamente funcional. No se necesita ingresar ningún tipo de clave o realizar alguna verificación adicional.
Conseguir los datos exigidos no es difícil. Aunque estos solo los deberían conocer sus titulares, los criminales encontraron varias formas de hacerse a ellos. Por ejemplo, los documentos públicos se han convertido en un método fácil y casi ilimitado de obtener números de cuentas bancarias, cédulas y otros datos exigidos para acceder al servicio.
Una mina de oro
La mayoría de las víctimas de este robo trabajan en el Departamento Nacional de Planeación (DNP). Alrededor de 31 funcionarios han reportado el saqueo de su dinero. Según uno de los empleados de la entidad afectados, “en un chat que tenemos en la oficina, una compañera nos alertó de estos movimientos extraños de ‘pagos PayU Netflix’. Inmediatamente nos pusimos a revisar nuestras respectivas cuentas”.
De acuerdo con otra de las víctimas, tras mirar los extractos bancarios, varios servidores públicos adscritos al DNP encontraron cobros entre los $16.900 —costo de la suscripción básica del servicio— y los $32.900 —costo de la suscripción prémium, que incluye la posibilidad de ver películas, series y más en cuatro dispositivos de forma simultánea—. Incluso hubo casos en los que se realizaron cobros en múltiples ocasiones. A uno de ellos le habrían alcanzado a debitar $107.600 de su cuenta, el cobro de dos suscripciones básicas y dos prémium.
Como la gran mayoría de víctimas son miembros del DNP, en la prensa se llegó a asegurar que la entidad había sido hackeada y sus listados de personal revelados. Al consultar al DNP sobre dichos casos, éste aceptó que varias de las cuentas de sus empleados habían sido objeto de cobros irregulares por parte de Netflix y que las autoridades estaban investigando lo ocurrido. Sin embargo señaló que desde el área de sistemas de la entidad no se había reportado hackeo alguno y que se desconocía la forma en la que los datos de sus trabajadores habían caído en manos criminales.
El Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), oficina dentro del Ministerio de Defensa encargada de temas de ciberseguridad, aseguró a través de Twitter que era un caso de phishing: una página web o comunicación electrónica que se hace pasar por otra de mayor confianza para robar datos. No obstante, varios de los afectados negaron haber ingresado su información personal en alguna de estas páginas falsas.
Al parecer, este delito no necesita de acciones tan complejas para su realización. La ley colombiana exige a las entidades del Estado que reporten su gestión al Sistema Integrado de Información Financiera (SIIF). Luego, los principales datos de estos balances son hechos públicos para que la ciudadanía sepa qué se hace con los recursos del erario. En este caso, en el sitio del DNP se colgaron los informes de ejecución de varios meses del 2017 de forma completa sin proteger la información sensible (números de cuenta y bancos en donde tienen esas cuentas) de las personas y empresas que tenían alguna relación económica con ella. Con buscar en Google los términos “nombre”, “cédula”, “número de cuenta” y “DNP”, se encuentran gigantescas bases de datos —más de 1.000 personas naturales y jurídicas— en las que está la información suficiente para abrir una cuenta de Netflix.
No solo estaban nombres y datos personales de varios de los afectados. En los listados también había organizaciones de importancia nacional, como Fonade, Terpel, EPM, Mapfre, entre otras. Estos informes de ejecución presupuestal se podían descargar con total libertad. Solo hace unos días, luego de que los afectados denunciaron los robos, el DNP restringió el acceso a dichos documentos exigiendo un usuario de la entidad y una clave. Este problema no es solo de Planeación. También se encontraron en la red otros registros con datos sensibles que pueden ser usados en esta estafa. Entre esos documentos está el estado de pagos a instituciones educativas del Ministerio de Educación. En el listado está consignado el número de cédula de los representantes legales de más de 13.000 instituciones, con su respectivo número de cuenta y banco donde tienen dicho servicio.
El Espectador le preguntó sobre estos hechos al abogado Javier Moya, miembro del bufete especializado en casos de protección de datos personales y privacidad Peña Mancero Abogados. Según él, “una vez la entidad administrativa (en este caso el DNP) accede al dato personal, adopta la posición jurídica de usuario responsable dentro del proceso de administración de datos personales, lo que de forma lógica le impone el deber de garantizar los derechos fundamentales del titular de la información”.
Sin embargo, el jurista hizo la salvedad de que “debe analizarse si la autorización entregada por los titulares de los datos personales al DNP contemplaba las finalidades específicas y legítimas para la cual se utilizarían los datos, entre ellas publicar en alguna de estas plataformas dicha información, y si era obligatorio hacerlo para esta entidad”.
Por último, el abogado señaló que, así el DNP contara con el permiso de sus empleados, si el titular no fue informado de forma “clara, suficiente y precisa” sobre la finalidad de sus datos, la Superintendencia de Industria y Comercio podría ser informada de las actuaciones y remitir la investigación a la Procuraduría General ante una posible irregularidad.
¿Qué hacen con las cuentas obtenidas con estos datos?
No hay información de la identidad de los presuntos estafadores. Tampoco se sabe qué hacen con los usuarios adquiridos con información ajena. Pero es preciso mencionar que en Twitter, Facebook e Instagram circulan anuncios que ofrecen cuentas prémium de Netflix con un costo mucho menor del original: 50 % menos.
Al ser contactados, los vendedores de este servicio irregular piden que se les gire el dinero a una cuenta de ahorros o por Efecty y ellos suministran un correo electrónico y una clave con los que, supuestamente, se podrá disfrutar de los contenidos de la plataforma sin inconvenientes. Es más, al ser cuestionados por la calidad del servicio, aseguran que entregarán un nuevo usuario en caso de que la cuenta suministrada sea cancelada.
Con esta información, se puede deducir que los datos de los denunciantes del DNP fueron usados para conseguir varias cuentas de Netflix para luego venderlas a mitad de precio. Cuando las víctimas se daban cuenta del robo y bloqueaban los usuarios, los presuntos delincuentes simplemente usaban la información de otras personas para obtener nuevas cuentas y así continuar con la estafa. El Espectador se comunicó con los encargados de comunicaciones de Netflix, pero al cierre de esta edición todavía no habían dado una respuesta.
Por Juan Sebastián Lombo Delgado
