La extracción o el uso ilegítimo de información personal de clientes, por parte de algún empleado de call centers, ha provocado la pérdida de cinco mil empleos durante los últimos años según datos contabilizados por el Comité del Call Centers para la Cámara Americana de Comercio (AmCham).
“Un solo incidente grave puede alejar al cliente y ocasionar pérdida de contratos, estimamos que por delitos de este tipo en años recientes hemos perdido alrededor de 5,000 puestos de trabajo”, dijo ayer presidenta del Comité, Karla Machón en la Comisión de Salvadoreños en el Exterior, Legislación y Gobierno de la Asamblea Legislativa.
Explicó que la reforma a la «Ley especial contra los delitos informáticos y conexos», para permitir presentarse como víctimas en este tipo de fraudes, es «urgente» para proteger la información de «clientes internacionales cuando esta se ve vulnerada por empleados locales».
“Actualmente, si un colaborador comete un acto ilícito que afecte al cliente final, por ejemplo, filtración de información, confidencialidad, extorsión, o incurre en fraude, no podemos proceder legalmente si el cliente no está inscrito en El Salvador. Esto genera impunidad, limita nuestra capacidad de acción y debilita la confianza de nuestros socios internacionales”, argumentó, ante los diputados.
El dictamen favorable de la reforma fue aprobado el miércoles y posiblemente sea aprobado este jueves en el pleno.
¿Cómo ocurren los fraudes por extracción de información?
El presidente del Comité de Ciberseguridad de AmCham El Salvador, Héctor Cuchilla, explicó a los diputados que los “call centers o centros de contactos contratan empleados, los entrenan y les dan una cantidad de permisos sobre los datos que les confía las empresas que contrata el call centers”.
Así, acceden a información como nombres, direcciones, teléfonos, correos, saldos de cuentas e medidas de seguridad de las cuentas.
Sin embargo, advirtió que “algunos de esos empleados deciden tomar una mala decisión” y que miembros del crimen organizado los buscan “les ofrecen dinero o sobornos para facilitar información que está en esa base de datos”, entonces, “esa información es utilizada para secuestrar cuentas, hacer compras, desviar fondos, robar dinero”.
“Los fondos que se roban van para todos los peores usos que se puedan imaginar: compra de drogas, armas, terrorismo, trata de personas, otros cibercrímenes más grandes”.
Héctor Cuchilla, presidente del Comité de Ciberseguridad de la AmCham El Salvador.
Sin embargo, no solo es la extracción de datos la conducta fraudulenta del uso de la información de los usuarios, sino otras.
¿Cuáles son las conductas típicas de este tipo de fraudes en los call centers?
1. Identificar cuentas de alto perfil.
2. Extracción de los datos.
3. Uso indebido de información como beneficiar a terceros.
4. Manipulación de registros de las cuentas.
5. Generación de datos falsos, por ejemplo, para realizar ventas falsas.
6. Borrado de interacción.
Cuchilla explicó que, cuando el cliente pierde su dinero y se queja con la entidad –farmacia, centro comercial, ferretería, emisor de tarjetas, banco– y esta le pasa los costos del fraude al call center, lo que les acarrea pérdida de reputación y en ocasiones de contratos y empleos.
Sin embargo, advirtió que no pueden judicializar los casos porque actualmente no pueden presentarse como víctimas. “Estos empleados nosotros los podemos detectar y lo más que podemos hacer es decir ‘usted ya no trabaja con nosotros porque rompió las reglas de ética de la compañía’ pero no hay forma de denunciarlos. Puedo denunciarlo, el problema es que no voy a poder suministrar evidencia porque no fui víctima”, indicó.
Por ello, urgen una reforma para “permitirle a todos los actores” de la cadena del manejo de información de los usuarios y permitirles que se presenten como víctimas el propietario, el controlador y el procesador de los datos.
La AmCham detalló que los call centers en El Salvador suman una exportación anual de $500 millones, generando entre 36,000 y 48,000 empleos directos en todo el país con un mercado global que supera los $100,000 millones y proyecta a crecer hacia $162,000 millones a 2029. Solo en 2024, los call centers crearon 12,000 empleos nuevos.
¿Qué dice la reforma?
La Asamblea Legislativa aprobó este jueves una reforma para que en el artículo 11 se establezca que se sancionará con penas de 10 a 12 años de prisión «quien en razón de sus funciones tenga acceso legítimo a un sistema informático base de datos, sistemas de gestión de relaciones con clientes, sistemas y plataformas de ventas, servicios de centros de contacto» (call centers), así como a servicios de blockchain, para «consultar, extraer o utilizar de manera ilegítima registros de información de terceros» o para otorgar beneficios no autorizados, ocultar interacciones, realizar manipulaciones indebidas o «crear información falsa a nombre del propietario de los datos» para «un beneficio para sí o para un tercero».
La reforma establece que este delito se cometería «en perjuicio del propietario de los datos, del controlador o procesador de los mismos», siendo el propietario quien tienen la propiedad sobre sus datos, el controlador, la entidad que determina medios para el procesamiento de sus datos; y el procesador, la entidad que recopila, almacena, modifica o elimina dichos datos en nombre del controlador de dichos datos.