menu MENÚ
MALDITA TECNOLOGÍA

Huellas dactilares robadas por ciberdelincuentes, seguros y movimientos bancarios y NFT en redes sociales: todo en el 115º consultorio de Maldita Tecnología

Publicado
Comparte

¡Hola de nuevo, malditos y malditas! Una semana más venimos con unas cuantas dudas tecnológicas, un poco de aquí y un poco de allá, para que no te la cuelen y tengas una vida digital libre de bulos y con toda la información tecnológica en tu poder.

Ahora que compartimos tantos datos y tenemos registros digitales de prácticamente todo, nos preguntáis si puede una aseguradora encarecer un seguro de vida si compramos tabaco, por ejemplo. Analizamos qué dice la legislación sobre esto y qué prácticas se llevan a cabo en aseguradoras y bancos.

Por cierto, ¿qué método de desbloqueo usas en tu aplicación bancaria? Si es la huella dactilar, te interesará averiguar si se podría hacer una copia gracias a tus fotos de Instagram. Sí, sí, con todas esas imágenes en las que formas la V con los dedos. Y hablando de redes sociales, también nos habéis preguntado por qué de repente Twitter os anuncia funciones para integrar NFT en vuestro perfil. Os lo explicamos.

Esperamos aclarar vuestras dudas tecnológicas, pero la semana que viene tendremos una nueva cita digital, así que recordad que podéis mandarnos todas vuestras preguntas a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319), en este formulario o mandando un mensaje al correo [email protected]. ¡Haz scroll!

¿Puede tu aseguradora tener acceso a tus movimientos bancarios y encarecer tu seguro de vida?

Cada vez tenemos más registros digitales de nuestras actividades del día a día. Dónde vamos, dónde comemos, dónde compramos… Con la digitalización del sector asegurador (y el surgimiento de insurtech, tecnología sumada a los seguros) y de los bancos (fintech, tecnología aplicada a las finanzas) es normal que nos surjan preguntas en torno al uso de todos esos datos que están volcados en nuestras aplicaciones. En Maldita.es hicimos una investigación sobre aquellas en las que apuntamos al dedillo nuestros gastos, por si quieres entrar en detalle.

En particular, hay quien afirma que pueden darse situaciones en las que se cruce esta información y esto acabe recalando de manera negativa en el usuario. Por ejemplo, hace unos días nos enviabais un tuit en el que se afirmaba que, si compras tabaco con tarjeta y has dicho en la contratación de tu seguro de vida que no fumas, el banco puede enterarse y subirte el precio del seguro.

El propio tuitero se retracta después de lo que sugiere, pero en Maldita.es vamos a analizar, con la información en la mano, si esta situación podría darse o no.

Primero, cabe explicar que las aseguradoras sí que preguntan en el momento de la contratación de un seguro de vida si la persona fuma o no. Forma parte del cuestionario médico inicial, en el que las aseguradoras solicitan a los clientes “contestar a preguntas muy concretas sobre su salud y estilo de vida. Incluso se puede llegar a solicitar un chequeo médico si nos encontramos ante clientes que sobrepasan cierta edad, padecen alguna patología o quieren asegurar capitales altos”, detalla Óscar Paz de la Fuente, director general de Insurtech Community Hub. Si la respuesta es afirmativa y el usuario reconoce que fuma, la cuantía a pagar puede ser más elevada que la de un no fumador: a mayor riesgo, mayor prima.

Mentir en ese momento sobre nuestro estilo de vida puede traer consecuencias después, como nos explica Javier Guillem, abogado especialista en seguros y maldito que nos ha prestado sus superpoderes: “Si una persona fumadora contrata un seguro de vida y no reconoce que fuma, tiene muchísimas posibilidades de que a su fallecimiento los beneficiarios no cobren por no haber indicado en el cuestionario de salud una cuestión tan importante como esa, máxime si el fallecimiento tiene relación con el tabaquismo (si muere, por ejemplo, por un accidente no tendría relevancia)”, detalla.

Imaginemos entonces que ya tenemos el seguro de vida contratado. ¿Podría la aseguradora acceder a los movimientos de nuestra cuenta bancaria para hacer un seguimiento digital de si, como sugería el tuit, compramos tabaco? No, si no hemos dado consentimiento.

“Cualquier dato sobre el asegurado, como los movimientos bancarios, al que quiera acceder una aseguradora, y máxime cuando afecta a la cobertura contratada o a la prima, tienen que haber sido explícitamente consentidos por el asegurado previamente para esa finalidad específica. El Reglamento General de Protección de Datos (RGPD) es muy estricto en este sentido”, detalla Paz de la Fuente.

Por su parte, “el estanco o la entidad bancaria que gestiona el pago tampoco tienen autorización del usuario para trasladar sus datos al seguro. Los tres agentes implicados (estanco, entidad bancaria y compañía aseguradora) se arriesgarían a la imposición de una fuerte multa por parte de la Agencia Española de Protección de Datos”, explican a Maldita.es desde el área jurídica de CECU (Confederación de Consumidores y Usuarios).

Hemos contactado con varias aseguradoras para preguntar por sus procesos internos en este sentido. Desde MAPFRE nos han contestado que todos los tratamientos de datos que realizan cumplen “estrictamente” con los requerimientos del RGPD. “Respecto a la información de la actividad de las tarjetas bancarias de nuestros clientes, es un dato que no tenemos. Por tanto, en ningún caso y bajo ninguna circunstancia es utilizado para ningún fin”, aseguran desde la compañía.

¿Y qué pasa en el caso en que tu aseguradora es tu propio banco? Muchas entidades bancarias como Santander, CaixaBank, BBVA, Ibercaja y Bankinter ofrecen seguros de vida. Si ya tienen tus datos bancarios, ¿podrían aprovechar para utilizarlos si contratas servicios de seguros con ellos?

El abogado Javier Guillem ratifica que es “ilegal” que, aunque la aseguradora sea la del banco, se comparta esta información. En cualquier caso, no cree que “haya conexión entre la cuenta bancaria y la aseguradora”, ya que “es una transferencia de información muy reservada”: “Me parece una teoría que se ha inventado alguien sin fundamentación alguna”, incide.

Desde BBVA nos indicaron que las partes del banco que se encargan de los movimientos bancarios y de los seguros son sociedades distintas, y que los datos de ambas se tratan anonimizados.

Imaginemos ahora una situación en la que una persona que tenía un seguro de vida ha fallecido y la aseguradora inicia una investigación porque sospecha que puede haber un fraude detrás. ¿Podrían en ese caso acceder a la información bancaria? “Por la Ley de Protección de Datos, un banco no puede compartir tus movimientos bancarios con nadie a no ser que lo pida un juez. Incluso si lo solicitara Hacienda tiene que pasar por la orden judicial”, nos explica Alberto Iglesias, especialista en seguros y maldito que nos presta sus superpoderes.

¿Y si la aseguradora pide en el juicio los datos bancarios? Según Iglesias, tampoco: “Si una aseguradora estuviera haciendo una investigación de ese tipo, los datos bancarios siempre los van a denegar porque no es información válida para un juicio. Incluso en el caso de que los detalles de los movimientos estuvieran registrados, en el estanco puedes haber hecho la recarga de una tarjeta de transporte o haber comprado unos chicles”.

Desde CECU coinciden en que, incluso si se adquiriera tabaco, “el hecho de realizar una compra no implica que esa persona sea fumadora, ya que puede comprar el tabaco para un tercero”. Por ejemplo, si compro tabaco para mi padre que no puede bajar a la calle, o si el dueño del bar de debajo de mi casa compra el tabaco en el estanco para venderlo pero él no fuma, ejemplifican a Maldita.es.

Por tanto, para que una compañía aseguradora pueda demostrar que una persona ha cometido fraude contra el seguro (regulado en el artículo 248 del Código Penal), tendrá que seguir otros procesos, no mirar la cuenta bancaria. Para eso pueden servir pruebas documentales, grabaciones o fotografías, detallan desde CECU. Además, si una aseguradora pretendiera justificar que no cubre el seguro porque el contratante ocultó que fuma, tendría que decir en qué se basa, y “si dice que ha sido mediante el comprobante de la compra de tabaco en el estanco estaría admitiendo una ilegalidad, que como hemos dicho tiene consecuencias graves”, añaden desde CECU.

En cualquier caso, Samuel Parra, abogado especializado en protección de datos en ePrivacidad, incide en que no sería posible porque “cuando pagas con tarjeta, la entidad financiera o el banco no saben qué estás comprando”. Es decir, no hay un desglose de lo que se adquiere en un establecimiento. Parra coincide con los demás en que, en cualquier escenario, “no se puede producir tal comunicación de datos entre el comercio (o el banco) a la entidad aseguradora”.

Desde CECU nos indican que no tienen conocimiento de que se hayan dado casos como el que se describe en el tuit inicial, y consideran que es difícil que haya sucedido. Concluyendo, que es gerundio, podemos decir que no, no podrían encarecer nuestro seguro de salud espiando nuestros movimientos bancarios para comprobar si hemos comprado tabaco; sería ilegal y atentaría contra la legislación de protección de datos.

Aprovechando este tema, sí conviene recordar que ya hay muchas propuestas en el sector insurtech que “monitorizan el estilo de vida (mediante dispositivos conocidos como wearables, por ejemplo) y premian o incentivan comportamientos saludables (número mínimo de pasos diarios, de horas dormidas, etc.”, nos recuerda desde Insurtech Community Hub Paz de la Fuente. Para que una aseguradora pueda utilizar estos datos, siempre tendremos que dar nuestro consentimiento explícito.

¿Se puede crear una copia de las huellas dactilares de una persona a partir de una fotografía de redes sociales para usarla con fines ilícitos?

Seguro que te has hecho miles de fotos que después has subido a tus redes sociales, haciendo el conocido gesto de la victoria, esa especie de V que conformamos con los dedos índice y corazón. Lo replican personas de toda edad, procedencia y condición. De regalo, aquí tienes al actor y cantante Jared Leto compartiendo esta pose el pasado 19 agosto.

Según aseguran algunas publicaciones y comentarios en Twitter, Leto tendría que tener cuidado porque, a partir de esa fotografía, podría conseguirse una copia de sus huellas dactilares, que después podría utilizarse con malas intenciones, como hacerse pasar por él para pagar o acceder a su móvil. Pero… un momento, ¿es esto cierto o nos estamos montando una película en nuestra cabeza? ¿Tenemos que esconder nuestros dedos cada vez que veamos un flash? Vamos a analizarlo, como siempre, con los datos en la mano.

La huella dactilar es la tecnología biométrica más antigua y una de las más utilizadas en ciberseguridad. Prácticamente todos los dispositivos móviles y cada vez más ordenadores tienen la opción de desbloquear con tan solo colocar un dedo sobre el sensor. También es el identificador único e inalterable recogido en nuestro documento de identidad y pasaporte.

En particular, se trata de una tecnología biométrica fisiológica, ya que considera parámetros derivados de la medición directa de un rasgo estrictamente físico del cuerpo humano (la superficie de nuestro dedo). Existen distintas técnicas para buscar coincidencias entre muestras de huella dactilar, como explica el INCIBE.

¿Es posible obtener esos parámetros tan específicos de una fotografía de redes sociales? La respuesta corta es sí, pero no en cualquier condición. “Teóricamente y en la práctica, se puede extraer la huella dactilar de una foto. No es algo nuevo”, afirma Aythami Morales, investigador del BiDA Lab, grupo de investigación sobre biometría de la Universidad Autónoma de Madrid.

Hay algunos ejemplos. En 2014, el Chaos Computer Club, la mayor asociación de hackers de Europa, aseguró que había clonado la huella dactilar de Ursula Von der Leyen, entonces ministra de Defensa de Alemania, a partir de fotografías de una rueda de prensa. Es cierto que no se basaron en una sola foto, sino en varias imágenes tomadas desde distintos ángulos en otros momentos, según explicaron. En 2017, un investigador del Instituto Nacional de Informática de Japón afirmó que lo había conseguido con fotografías que mostraban las yemas de los dedos hasta a tres metros de distancia.

Tampoco vale cualquier foto. Los especialistas consultados por Maldita.es coinciden en que tiene que ser de alta calidad y, “por alta calidad, en huellas dactilares se entiende al menos 300 dpi [puntos por pulgada]. No creo que las huellas subidas a redes sociales tengan la calidad suficiente”, se cuestiona Morales. ¿Podría darse? Técnicamente sí, pero tiene que ser o “una imagen de muchísima resolución o un primer plano muy cercano de los dedos, y ambas cosas son poco habituales en redes”.

Supongamos entonces que la imagen es de buena resolución, ¿qué podría hacerse con ella? “Seguro que esta huella dactilar, si tiene la calidad suficiente, se podría utilizar para identificar sus puntos característicos y por lo tanto, a la persona”, dice Marta Beltrán, investigadora en ciberseguridad en la Universidad Rey Juan Carlos.

Otra cosa sería utilizarla para reproducir la huella dactilar y, por lo tanto, para suplantar a esa persona. Beltrán cree que esto ya no es tan seguro porque “estas aplicaciones de autenticación la calidad que se necesita en la huella son mucho mayores”. Morales también añade que esto no funcionaría en todos los escenarios porque “hay determinados sensores que incluyen detectores de vida”. O sea, que detectan si el patrón que analizan pertenece a un cuerpo que se mueve o a una superficie plana, como una plantilla, por ejemplo.

Volviendo al escenario en el que nos sentimos dentro de un filme, ¿realmente podría hacerse tan fácilmente, de forma accesible y por cualquiera, o estaríamos hablando de que serían necesarios conocimientos técnicos avanzados y software complejo? “Si consigues la foto de alta calidad, el proceso no es excesivamente complejo. Por supuesto necesitas ciertos conocimientos. Pero no requieres de equipamiento especial, ni tecnología de películas”, dice Morales del BiDa Lab a Maldita.es, y nos remite a un vídeo de la Universidad de Michigan donde copian una huella y la imprimen con una impresora casera. Eso sí, ahí lo hacen a través de las marcas que se han quedado en un dispositivo móvil, no de una fotografía.

Gherson Pernia, abogado experto en dactiloscopia y maldito al que hemos consultado, también nos remite información sobre el avance de las técnicas de reproducción de imágenes aplicando técnicas de digitalización. Coincide en que escáneres de buena calidad, impresoras láser y cámaras digitales se encuentran hoy al alcance de cualquier falsificador y con resoluciones ópticas cada vez mayores a muy bajo precio.

Esto, sumado al uso de programas de retoque fotográfico, permitirían retocar este tipo de imágenes y falsificar huellas dactilares, pudiendo obtener el dactilograma (huella digital impresa en una superficie con fines legales de identificación) de manera artificial (es decir, de una imagen obtenida por ejemplo por fotografía).

¿Qué le aconsejamos a Jared Leto entonces? Pues que, si quiere, enseñe las yemas de sus dedos, pero mejor desde una distancia prudencial y en imágenes que no tengan una alta resolución, no sea que algún fan quiera llevarse de recuerdo su huella dactilar (aunque, seguramente, no podrá usarla con fines maliciosos).

Me ha salido por primera vez la opción de usar un NFT como imagen de perfil en Twitter, ¿qué es y cómo funciona?

Pese a que es una función que lleva varios meses activa, a varias personas les está apareciendo ahora un anuncio presentando los NFT como imagen de perfil en Twitter con el siguiente reclamo: “Para elegir un NFT como tu imagen de perfil, debes conectar tu criptocartera”. ¿Y eso qué es? Ante la duda, habéis acudido al consultorio tecnológico, así que vamos a explicar en qué consiste esta función, para qué sirve realmente y qué otras redes sociales ofrecen conectar a nuestro perfil activos del mundo ‘cripto’.

Lo primero es lo primero: un repaso rápido de la definición de NFT. Son las siglas en inglés de non fungible token (token no fungible, en español), un tipo de certificado que se asigna a un archivo digital para asegurar que solo hay una versión original de este y que tiene un propietario. Una ilustración digital, un tuit, el código de una página web o incluso un artículo periodístico pueden convertirse en un NFT, a pesar de que haya muchas copias del mismo circulando por Internet. Hablamos a fondo de esta tecnología cuando se hicieron populares en el panorama digital, también en Twitch.

A lo largo del último año, se han intentado introducir los NFT en diferentes sectores. Se han puesto a la venta autógrafos de deportistas famosos como el tenista Rafa Nadal o la gimnasta Simone Biles con este tipo de certificación. Organizaciones sin ánimo de lucro como Open Arms han optado por vender tuits relacionados con rescates en Lampedusa. Incluso la familia de John Lennon optó por vender NFT de algunas pertenencias y prendas icónicas del cantante (ojo, que no los objetos físicos, sólo un archivo digital y el certificado en sí como NFT, ¿a que no es lo mismo?).

¿Las redes sociales por qué han apostado? Principalmente, por invitar a los usuarios a vincular sus criptocarteras a sus cuentas en redes sociales y a compartir sus NFT como publicaciones o imágenes de perfil, y eso es lo que estáis viendo anunciado en vuestros perfiles.

En el caso de Twitter, la función se ha ido desplegando a lo largo de 2022, pero sólo funciona si, como hemos mencionado, se conecta un monedero virtual a la plataforma: “Esto significa que tu cuenta de Twitter se asociará a las transacciones actuales y de tu historial con la criptocartera, incluidos todos los NFT vinculados a esta cartera”, señala la empresa en una publicación oficial.

Una criptocartera o un monedero virtual, recordamos, es la plataforma en la que se guardan las criptomonedas y otros criptoactivos. Para hacer transacciones entre diferentes carteras o empresas, se comparte un código identificador para que otra persona pueda ingresar en la nuestra criptomonedas, por ejemplo. A diferencia de una cuenta bancaria, cuyo contenido solemos mantener en secreto, una cartera virtual es ‘pública’, ya que todo lo que contiene está registrado en una blockchain o cadena de bloques.

Espera, ¿esto significa que podría enviar criptomonedas a través de Twitter? No exactamente. En lo que se refiere a los NFT, Twitter ha habilitado la opción de mostrar aquellos que estén vinculados a imágenes en nuestra foto de perfil, y en este caso aparecerían con una forma hexagonal: “Cuando veas una imagen de perfil NFT, puedes ver los detalles de este NFT visitando el perfil, haciendo clic en la imagen y seleccionando ‘Ver detalles’. Verás detalles como el propietario del NFT, la descripción, colección, propiedades y detalles adicionales (como la dirección de contacto).

Pero, entonces, ¿para qué me sirve tener la criptocartera conectada? Bueno, eso depende de lo involucrada que esté una persona con el mundo ‘cripto’. A algunas personas no les servirá de nada tener una foto de perfil con un NFT, pero las personas que poseen estos archivos y que quieran comprar y vender otros podrán de alguna manera exponerlos en su cuenta de Twitter personal.

En los últimos años, Twitter ha adoptado una postura bastante favorable hacia las criptomonedas y los NFT, ya que su exjefe ejecutivo, Jack Dorsey, apoya este tipo de transacciones (que no están reguladas, como advertimos de forma continua). De hecho, Twitter cuenta con una opción para pagar “propinas” a usuarios que sigamos y acepta que los pagos se hagan con Bitcoin a través de plataformas externas.

Twitter no es la única red social que ha optado por la idea de vincular criptocarteras. En 2022, Meta, propietaria de Instagram y Facebook, también anunció que gradualmente permitiría a los usuarios en ambas plataformas compartir sus “colecciones digitales”. La función va muy en la línea de Twitter: “Una vez que un creador o un coleccionista publique una pieza coleccionable, adoptará un efecto brillante y mostrará información pública, como una descripción del NFT”, explican en Meta.

“Recogemos y organizamos datos públicos de blockchains abiertas, como Ethereum, para proporcionar este servicio. A partir de esta información, solo podemos identificar qué artículos de colección son de cada coleccionista y cada creador cuando conectan sus monederos externos a Instagram”, continúan.

Y por último…

No somos técnicos ni ingenieros, pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis utilizar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, podéis hacérnosla llegar:

En este artículo han colaborado con sus superpoderes los malditos Javier Guillem, Alberto Iglesias y Gherson Pernia.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.