En un contexto donde la digitalización avanza y los procesos financieros se vuelven cada vez más accesibles en línea, el sistema de pensiones no está exento de amenazas. La proliferación de fraudes y la falsificación de información, incluyendo certificados de cotizaciones, representan un riesgo significativo para los afiliados, comprometiendo tanto sus fondos como su identidad. A continuación, se detallan diversos incidentes y mecanismos fraudulentos que han afectado al sistema previsional.
Aumento de Ciberdelincuencia y Retiro de Fondos AFP
El proceso de retiro de fondos de las AFP ha sido un momento propicio para la actuación de ciberdelincuentes. El Gobierno, consciente de esta situación, se ha preparado para que estos procesos sean lo más rápidos posible y ciberseguros.
Monitoreo y Prevención
La Subsecretaría del Interior ya se encuentra monitoreando la creación de posibles sitios fraudulentos y/o campañas de phishing relacionadas a este tema. Además, en conjunto con la Superintendencia de Pensiones, se han lanzado importantes consejos para prevenir estafas virtuales.
Según informó la Superintendencia de Pensiones (SP), el segundo retiro de fondos comenzará a regir a más tardar desde las 09.00 de este jueves 10 de diciembre y durante las dos primeras semanas el proceso se realizará por vías no presenciales, es decir, a través de las plataformas web y call center.
Durante el primer retiro de fondos de pensiones, la Subsecretaría del Interior, a través del Equipo de Respuesta Ante Incidentes de Seguridad Informática, CSIRT, alertó a la ciudadanía sobre distintas campañas de phishing provenientes supuestamente de una entidad bancaria. Estas campañas invitaban a realizar el trámite a través de un enlace, y si la persona seleccionaba ese link, se expondría al robo de sus credenciales.
Las autoridades han reafirmado su compromiso: “Estamos trabajando y poniendo todos nuestros esfuerzos para que quienes necesitan retirar su 10% lo hagan de forma segura y no tengan mayores problemas.” Se ha solicitado a las AFP, a través de su Asociación Gremial, que tomen las medidas de resguardo necesarias. Asimismo, el Ministerio del Interior ya está monitoreando la posible creación de sitios fraudulentos u otros sistemas que buscan engañar a las personas.
Recomendaciones Clave para la Ciudadanía
- El proceso de retiro de fondos no tiene intermediarios y se debe realizar solo a través del sitio web oficial de cada AFP, no respondiendo a un correo o mensaje de texto que solicite hacerlo.
- Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño.
- Desconfíe de los correos alarmantes.
- Descargue aplicaciones oficiales.
- Para obtener información sobre el retiro del 10% de la AFP, utilice fuentes confiables.
- Nunca entregue contraseñas ni credenciales de inicio de sesión de redes sociales, cuentas de correo, servicios financieros, bancos o de plataformas en las que esté registrado.
Se invita a la ciudadanía a estar atenta a los mensajes o correos electrónicos que puedan recibir y a ser críticos con la información, ya que los ciberdelincuentes se aprovechan de las vulnerabilidades y necesidades de las personas para crear estafas creíbles.
Retiro de AFP: ¿Cómo cuidar tu dinero de robos y estafas?
Casos de Traspasos Fraudulentos entre AFPs
Además de las campañas de phishing, se han registrado incidentes de accesos fraudulentos que permiten traspasos irregulares de fondos entre administradoras.
El Incidente Cuprum-Provida
La Superintendencia de Pensiones informó sobre un acceso fraudulento al sitio web de AFP Cuprum, ocurrido entre el 27 de enero y el 4 de febrero pasado. Como resultado, ocho afiliados de esa administradora fueron afectados por solicitudes de traspasos sospechosas de sus cuentas con destino a AFP Provida. Si bien los restantes cuatro afiliados fueron traspasados de manera irregular a AFP Provida, tras aplicarse el reclamo normativo que contempla la legislación, comenzó el procedimiento establecido para la restitución de las cuentas de los afiliados y sus respectivos fondos.
Según ha señalado AFP Cuprum, el traspaso de los cuatro afiliados desde esa administradora hacia AFP Provida se realizó a través del sitio web de esta última, mediante la utilización irregular de las claves de acceso y seguridad de los afiliados. A la fecha, se ha determinado que los defraudadores utilizaron los procedimientos de restitución de claves, para lo cual debieron conocer información de carácter personal de los afiliados afectados.
Hasta el 19 de marzo, según AFP Cuprum, se han identificado 67 casos en los cuales se cumple el mismo patrón de transacciones.
Medidas de Fiscalización y Fortalecimiento de Controles
Tras ser informada de esta situación, la Superintendencia ha desplegado un proceso de fiscalización intensivo a la actuación de ambas administradoras, con el objetivo de velar por el correcto cumplimiento de lo establecido en la normativa, tanto para la restitución de las cuentas y sus respectivos fondos, como respecto del fortalecimiento de los controles internos de las operaciones que se realizan en el sistema.
En reuniones sostenidas entre las autoridades de la Superintendencia y los representantes de AFP Cuprum, estos reportaron la constitución de un equipo para este caso integrado por Auditoría Interna, Compliance, Gerencia de Riesgos y Oficial de Seguridad de la administradora.
La Superintendencia ha estado auditando la seguridad de la información y las políticas implementadas por las administradoras en ese ámbito. En 2018, se desarrolló un taller cerrado para las AFP y AFC sobre esta materia. Además, se instruyó a cada una de las administradoras para que revisaran sus procedimientos internos, con el objetivo de detectar las principales fortalezas y debilidades de sus sistemas de seguridad de la información, presentando a la Superintendencia un informe con propuestas de mejora.
Se solicitó a las AFP la entrega de un informe en un plazo de cinco días hábiles, detallando si han detectado casos similares u otros que afecten la seguridad de la información, así como vulnerabilidades en los procedimientos que pudieran permitir la materialización de un fraude. Adicionalmente, se pidió el último informe de monitoreo de transacciones del sitio web, con las incidencias materializadas y su "análisis de criticidad", así como estudios de vulnerabilidad de la página.
Consultada al respecto, la Superintendencia indicó que tras recibir las respuestas de las AFP se seguirá con el proceso de investigación que "puede instruir a las AFP reforzar los controles si detectamos vulnerabilidades o debilidades en el diseño de los procesos y sistemas".
Suplantación de Identidad y Certificados de Cotizaciones Falsos: Un Caso Ilustrativo
La suplantación de identidad es una de las modalidades más insidiosas de fraude, impactando directamente la vida financiera y personal de las víctimas, a menudo a través de la generación de certificados de cotizaciones falsos o deudas inexistentes.
Origen del Fraude: Deuda Inexistente
Un caso particular ilustra la complejidad de estos fraudes. Un arquitecto recibió en marzo de 2010, en su casa en Osorno, una patrulla de Carabineros con una orden de embargo por una supuesta deuda de cotizaciones impagas con AFP Provida. De hecho, eran dos causas distintas por deudas que sumaban poco más de $201.000. Aunque AFP Provida eliminó esta supuesta deuda del registro y los juicios se acabaron en agosto de 2010, el problema resurgió años más tarde.
Posteriormente, al intentar inscribirse como tasador en el Serviu, se dio cuenta de que, si bien la deuda previsional había desaparecido, ahora le cobraba Fonasa. Al investigar en el Instituto de Previsión Social (IPS), no obtuvo información clara, lo que lo llevó a presentar una denuncia por falsificación o uso malicioso de documento público en la Fiscalía Local de Osorno en junio de 2012.
Mecanismos de la Estafa: Falsificación de Cédulas y Acceso a Datos
La investigación de la PDI reveló que la persona a la que supuestamente "debía" el dinero era una mujer de 65 años de Curicó, a quien el arquitecto nunca había contratado ni conocido. La mujer declaró que jamás había trabajado bajo contrato ni cotizado en el sistema previsional. La PDI tuvo acceso a declaraciones de Previred donde, salvo el nombre y RUT del arquitecto, ninguno de los datos (como dirección inexistente y teléfono sin respuesta) le correspondía.
Este incidente se enmarca en un patrón más amplio. Se ha detallado que la ocurrencia de estos incidentes es posible por la suplantación de identidad de los afiliados, a través de la falsificación de cédulas de identidad. En estos documentos, se altera la foto y la huella dactilar de la persona para que coincida con las del defraudador al momento de una verificación RUT-huella.
Con la cédula adulterada, los impostores piden la clave secreta del afiliado presencialmente en la AFP o a través del call center. Así acceden a la información personal del afectado en el sitio web, donde obtienen certificados de cotizaciones -que parece ser el principal objetivo de este procedimiento irregular- o realizan giros desde cuentas de ahorro voluntario que registran saldo, para lo cual resetean la clave de seguridad.
Las Consecuencias para la Víctima
El arquitecto descubrió, a través de comentarios de otras cinco personas, que no era un caso aislado, sino un mecanismo fraudulento para cobrar deudas inexistentes. Estas personas también se habían enterado de que debían cotizaciones a "empleados" que no conocían, y las instituciones no les daban respuestas.
Las consecuencias personales para la víctima fueron severas: sus "papeles manchados" le impidieron seguir siendo tasador del Serviu al figurar como deudor, le negaron postulaciones a créditos, y tuvo problemas al intentar vender su casa. Incluso, se vio impedido de salir del país.
Desafíos Ante la Indefensión Institucional
A pesar de presentar denuncias en la Contraloría, la Superintendencia de Isapres y de Pensiones, e incluso Fonasa, el arquitecto se encontró con un vacío institucional. Las instituciones "se pasan la pelota", responsabilizándose unas a otras y obligando a la víctima a ir de un lado a otro sin solución. Se sospecha que este vacío es conocido y aprovechado, ya que, al tratarse de montos bajos (como $80.000 o $100.000 pesos), la gente a menudo prefiere pagar para evitarse problemas y mayores gastos.
Incluso, la Inspección del Trabajo verificó que no existió vínculo laboral entre el arquitecto y la supuesta empleada. Sin embargo, a pesar de todos los antecedentes y las irregularidades comprobadas, el sistema sigue con la falla y no elimina la deuda. En el IPS no solucionan el problema y en la fiscalía se le indicó que, mientras no haya un juicio, nadie fallará su absolución, es decir, que debía demandar. La pregunta persistente es: ¿a quién demandar si la supuesta "empleada" no tiene nada que ver? El IPS, en este escenario, funciona como intermediario que cobra una declaración supuestamente hecha con un nombre suplantado.
La Lucha Continua Contra el Fraude
La Superintendencia de Pensiones, ante la situación, ha indicado que, tras recibir las respuestas de las AFP, el proceso de investigación continuará y que "puede instruir a las AFP reforzar los controles si detectamos vulnerabilidades o debilidades en el diseño de los procesos y sistemas". Este es un paso esencial para garantizar la seguridad de los afiliados y la integridad del sistema previsional en su conjunto.
tags: #cerfificadp #de #cotizaciones #afp #falsos