menu MENÚ
MALDITA TECNOLOGÍA

Datos biométricos en el móvil, herramientas tecnológicas de los bancos y pagar con Bizum: llega el 49º consultorio de Maldita Tecnología

Publicado
Comparte
Etiquetas

¡Hola, hola, malditas y malditos! Fieles a nuestra cita del martes, os traemos respuestas a varias preguntas que nos habéis hecho en las últimas semanas: ¿las empresas tecnológicas pueden compartir las huellas dactilares que registramos en el teléfono? ¿Puede un banco poner problemas a personas que no saben usar su banca online o un cajero automático? Además, hablamos de Bizum: seguro que muchos habréis visto que cada vez más locales aceptan pagos a través de esta aplicación.

Podéis seguir mandando vuestras dudas a través de los canales de siempre: escribiendo al correo electrónico [email protected], a Twitter o a Facebook o rellenando este formulario. ¡A por ello!

¿Pueden las empresas de dispositivos como Apple, Samsung, etc. acceder y compartir los datos biométricos que guardamos en los teléfonos como la huella dactilar, rasgos faciales, etc.?

Son muchas personas las que optan por desbloquear sus móviles o abrir aplicaciones con la huella dactilar e incluso con una imagen de su cara en el caso de los iPhone. Teniendo en cuenta que los datos biométricos son especialmente sensibles, ¿cómo se almacenan? ¿Se quedan sólo en nuestro móvil o pueden las empresas acceder a ellos? Ante todas estas preguntas, os adelantamos que las empresas no pueden usarlos o compartirlos.

La principal diferencia a la hora de usar como contraseña un patrón o un código numérico frente a un dato biométrico está en que este no se puede modificar o manipular: tu huella dactilar no es igual que la de ninguna otra persona en el mundo y un escáner de tu cara analizado con un software preciso no debería identificar a otra persona. De ahí que las empresas tengan que tomar medidas de seguridad extra para almacenarlo si lo usan.

“En el caso de los teléfonos móviles, este almacenamiento se hace de manera local (es decir, no se sube a la nube y cuando cambiamos de terminal debemos volver a registrar la huella o la cara) y generalmente en un almacenamiento independiente de la memoria principal del teléfono”, nos explica Carlos Tomás, fundador de la empresa de criptografía Enigmedia, quien además nos ha prestado sus superpoderes como maldito.

Cada sistema operativo tiene su propia “cajita de seguridad” para guardar esta información de manera que no se pueda acceder a ella. En lo que coinciden es que se basan en un sistema de almacenamiento independiente al resto de los que componen el dispositivo (por ejemplo, donde se guardan y ejecutan las aplicaciones que descargamos). Cada vez que usamos nuestra huella dactilar para desbloquear la pantalla o confirmar una operación en una aplicación, el sistema del móvil consulta esa cajita para confirmar que los datos que estamos dando se corresponden con el modelo que está guardado en ella.

Este es también el motivo, según nuestra maldita auditora de sistemas, Paula González, por el que al apagar y volver a encender un teléfono, antes de permitirnos desbloquear nada con la huella o la cara nos piden que introduzcamos la contraseña del móvil que tengamos configurada: para que acceda primero al chip donde se guardan los datos.

Pantalla que muestra un móvil Samsung al reiniciar el teléfono.

En el caso de Apple, Tomás explica que para proteger este tipo de datos usan un coprocesador informático (un segundo procesador complementario al principal del móvil) al que no se podría acceder ni siquiera si se infectara el propio teléfono con un malware o una aplicación maliciosa. El sistema se llama Secure Enclave y se utiliza tanto en iPhones como iPads e incluso en los relojes inteligentes de la firma, los Apple Watch. En ese sistema se guarda un modelo de nuestros datos cifrados.

González precisa que en el caso de los iPhone también se puede configurar qué aplicaciones permitimos que “consulten” esos datos y cuáles no: “Los mecanismos que se utilizan son tales que cuando se consulta realmente lo que se hace es pasar el dato que quieres comprobar por un algoritmo y comprobar el resultado con el que hay almacenado. Si coinciden, es que es el mismo dato y si no, es distinto”.

En el caso de Android, el almacenamiento de estos datos se realiza en el Trusted Execution Environment (TEE), que una vez más se trata de un chip aislado del resto de hardware del dispositivo. En este caso, no solo se utiliza para guardar información sobre nuestras huellas dactilares o nuestros rasgos faciales, sino también la que tiene que ver con pagos móviles. Dentro de este procesador, toda la información está cifrada y ni siquiera cuando el móvil “pide información” para realizar algunas tareas puede ver lo que hay guardado en él.

“De esta manera, tanto en Apple como en Android, las aplicaciones que usan datos biométricos no acceden directamente a estos sino que se ejecuta a través de una API y las apps reciben un OK o un KO (no OK) por parte de la ejecución confiable para que no puedan ser robados”, concluye Tomás.

¿Me pueden pedir en un bar o una tienda que pague con Bizum en vez de otro método de pago? ¿Afecta eso a mi privacidad?

Como cada vez más personas usan Bizum, hay locales como bares y tiendas que ya lo dan por válido como método de pago. Con este servicio también la calderilla del bolsillo ha evolucionado a transferencias instantáneas: hemos visto artistas callejeros que ponen un número de teléfono al que la gente puede enviar un bizum para hacer donaciones. 

Para aquellos que os preguntéis de qué va esto de Bizum, os explicamos antes de nada para qué sirve. Bizum es un servicio integrado en los bancos españoles para hacer transferencias de dinero a través de nuestro móvil, gracias a que nuestro número de teléfono se vincula al de nuestra cuenta bancaria. Para algunos bancos encontrarás la solución en la propia aplicación del banco y para otras entidades tendrás que tener una aplicación complementaria (también del banco) donde se gestionan las operaciones online.

Bizum se empezó a usar en 2016 y, según la empresa, para 2020 ya había al menos 10 millones de personas utilizándola. De ahí que no haya pasado inadvertida para el radar de ciberdelincuentes, que valiéndose de tácticas de ingeniería social consiguen engañar a usuarios para que les envíen dinero, como ya hemos contado en Maldita.es

Con todo esto en mente, es importante que sepáis algunas cosas sobre su uso. Lo primero es que en un local no nos pueden obligar a pagar con Bizum, pero sí tenerlo como única alternativa al efectivo, según nos explica nuestro maldito Juan Gimeno, que nos presta sus superpoderes como catedrático de Economía en la UNED. Igual que cuando en un establecimiento no aceptan tarjetas de crédito o débito, puede ser el caso de que la única alternativa para pagar de forma telemática sea a través de Bizum.

Esto también se debe a que la propia compañía ha llegado a acuerdos con diferentes comercios para que estos acepten un bizum como método de pago. También en sus plataformas online: en estos casos el sitio web ofrece entre los métodos de pago la de “pagar con Bizum”. La diferencia con el pago entre particulares es que aquí necesitamos un código de cuatro dígitos que tenemos que configurar desde la aplicación del banco.

Captura del sitio web de Bizum que muestra algunos de los comercios con los que tienen acuerdos para pagar usando el servicio.

Las reticencias a usar Bizum para pagar en un local cualquiera se dan sobre todo por el hecho de que esté vinculado a nuestro número de teléfono: ¿acaso la dueña del bar o el comercial de la tienda van a tener acceso a él?

Cuando hacemos un bizum, tenemos la opción de enviar el dinero a una persona que tengamos apuntada en nuestra lista de contactos (y que también tenga activado el servicio, claro) o de mandarlo a un nuevo número de teléfono. En este caso, es el propio local quien te ofrece el número al que hacerlo, pero ellos no pueden ver el nuestro.

Maite Sanz de Galdeano, abogada especializada en tecnología y datos personales en Global Legal Data, expone que los datos visibles para el receptor de nuestra transferencia son nuestro nombre de pila, las iniciales de los apellidos y las últimas cifras del teléfono; datos que por sí solos no identifican a una persona. Si recibimos un envío de dinero, pasará lo mismo: veremos el nombre de pila y las iniciales.

 “La propia Política de Privacidad de Bizum no contempla la cesión de los datos en estos casos (ellos son realmente los que tratan los datos del cliente”, añade.

También nos habéis preguntado si los comercios que lo usan podrían lucrarse evadiendo impuestos, por ejemplo. En teoría, no, ya que “al final sigue siendo un medio de pago que queda reflejado en la cuenta bancaria”, afirma otra de nuestras malditas, Maite Fandos, que es asesora fiscal: “No hay ahorro que valga por esa vía”.

Aun así, Bizum sí que ha establecido límites para el uso del servicio, dado que las condiciones del servicio para empresas o particulares no son las mismas y algunos comercios podrían estar aprovechando este dato: el banco y no Bizum es quien pone las normas para ese tipo de uso. Según cuenta Invertia en este artículo, hace poco que la plataforma ha reducido las transferencias que puede recibir una persona de 150 a 60 para evitar operativas irregulares entre pequeños comercios y autónomos. 

¿Puede un banco cobrar por servicios (o incluso negártelo) por no saber usar sus herramientas tecnológicas? 

Muchas oficinas bancarias han optado por cerrar su servicio de caja y han delegado gestiones que antes se hacían cara a cara a los cajeros automáticos o a la banca online. También a raíz de la pandemia de COVID-19, que ha hecho que la presencia en un espacio cerrado se trate de evitar a toda costa. Todo esto implica que muchas personas que no han interactuado nunca con estas herramientas o que se llevan regular con la tecnología tengan problemas para realizar algunos trámites. Si bien esto puede afectar a personas de cualquier edad, la gente más mayor puede verse en aprietos en más ocasiones.

Lo primero que hay que tener en cuenta es que el banco puede cobrarnos por servicios siempre y cuando así lo recoja el contrato que hayamos firmado con ellos. Ya sea tras abrir una cuenta bancaria o por pedir un préstamo, por citar dos ejemplos frecuentes.

Nuestro maldito José Ignacio Macías, abogado especializado en derecho bancario, nos cede sus superpoderes para abordar el asunto y aclara que el otro punto necesario para que este cobro sea legal es que “el servicio prestado al cliente sea real y aporte valor”.

“A esto habría que añadir que no implique abuso de posición dominante. Es decir, que no te veas obligado a contratar algo que no quieres por miedo a perder el objeto principal del contrato”, subraya.

Si estas tres premisas se cumplen (el cobro figura en el contrato, el servicio es real y no hay abuso de posición dominante), este cobro sería totalmente válido. Una vez repasado esto, la situación tiene matices. En el caso del cierre de sucursales y la imposibilidad de hacer trámites con el banco si no es a través de internet, Macías considera que se podrían pedir responsabilidades al banco “si el contrato lo prevé”.

“Si hablamos de personas mayores que tienen relación con su banco desde hace mucho tiempo, y para los que la exigencia de herramientas tecnológicas no existía en sus contratos originales, sino que es consecuencia de una modificación posterior no debidamente aceptada o incluso tratarse de una demanda arbitraria, podríamos estar ante un incumplimiento por parte del banco del contrato original y sería posible exigir responsabilidades”, añade. Todo depende de si hay un cambio en las condiciones pactadas con la entidad en el momento de firmar con ellos.

Aunque resulte dramático para los trabajadores y aparatoso para el cliente, el cierre de sucursales es una práctica (además de habitual) perfectamente legal. Nuestro maldito Miguel Vieito Villar, abogado especializado en derecho antidiscriminatorio, explica que en caso de que cierren la oficina a la que llevamos yendo toda la vida, “las personas afectadas son, en general, asignadas a otra oficina física a donde pueden dirigirse a realizar sus trámites”.

Esto es un problema para muchas personas mayores que viven en el ámbito rural ya que, aunque les asignen otra sucursal, esta suele estar a kilómetros de sus domicilios, generando una situación de “exclusión bancaria y para el acceso a dinero en efectivo, que es el método de pago mayoritario en nuestro país”, según subraya el letrado.

Al igual que nuestro otro maldito, Vieito hace especial hincapié en estar atentos a las condiciones y ofertas del servicio que queramos contratar. Sobre todo teniendo en cuenta que muchas cláusulas específicas “bonifican las operaciones online” al poner trabas y con comisiones específicas sobre las operaciones en ventanilla.
Un ejemplo de ello es la comisión que ya cobran bancos como el BBVA o CaixaBank por retirar dinero en efectivo en ventanilla. En el caso de la entidad vasca, se realiza un cobro de dos euros por una retirada de efectivo inferior a 2.000 euros. La decisión, que apunta en la dirección de la automatización y digitalización de la banca, ha derivado en críticas de la OCU, que tachan la medida como “injusta” al ahondar en la “exclusión financiera de muchas entidades hacia las personas mayores y consumidores vulnerables”.

Antes de iros...

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo han colaborado con sus superpoderes los malditos Carlos Tomás, Paula González, Juan Gimeno, Maite Fandos, José Ignacio Macías y Miguel Vieito.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.