Suplantación de identidad en línea: incrementan denuncias, pero no hay responsables

Por: María Morales Isla / Unidad LR Data

Publicado el 7 de julio de 2022

Joseph Beltrán Ramírez, un docente de la Universidad Nacional de Ingeniería, supo que habían suplantado su identidad cuando solicitó un préstamo para obtener un departamento y en sus registros financieros aparecía una deuda de 14.000 soles. Una experiencia similar vivió una madre de familia, quien prefirió mantener su anonimato, al enterarse de que adeudaba 30.000 soles al Banco Falabella. Ambos fueron víctimas del delito de suplantación de identidad en línea, uno de los ciberdelitos más frecuentes e impunes en Perú.

De acuerdo con el Sistema de Denuncias de la Policía (Sidpol), se han registrado más de 1.300 casos de suplantación de identidad solo en lo que va del 2022, una cifra que supera lo denunciado en el mismo periodo en años anteriores. Pese a su incidencia, la mayoría de casos son archivados por la falta de profesionales especializados y el desconocimiento de los fiscales y policías sobre esta materia. Mientras tanto, los afectados deben lidiar con las moratorias y entidades financieras que no les brindan soluciones.

Incrementan denuncias, pero también sus archivamientos

Entre el 2020 y el 2022, las denuncias por ciberdelincuencia se incrementaron de manera exponencial, ya que la emergencia sanitaria supuso el traslado hacia la virtualidad desde su inicio. Con ello, la suplantación de identidad tuvo un mayor auge, junto al delito de fraude informático.

Ricardo Elías Puelles, presidente del Observatorio Peruano de Cibercriminalidad, sostuvo que el ascenso de la interacción en entornos digitales no significó una enseñanza hacia su uso para el ciudadano, sino que fue aprovechado por los delincuentes. “Bastaba con conectarse a internet y seleccionar a las víctimas, quienes son personas que no tienen preparación en temas informáticos”, comentó a La República.

En ese periodo, la División de Alta Tecnología (Divindat), el Sistema de Denuncias de la Policía y el Ministerio Público (MP) registraron un aumento de casos por suplantación de identidad en línea. De acuerdo con la información recibida por Transparencia, las cifras de las unidades policiales oscilan entre los 1.000 y 2.000 denuncias. Los números varían porque solo existen dos dependencias especializadas de la Divindat (Lima y Arequipa) para la persecución del delito, por lo que el resto de atestados se realizan en diferentes instancias.

En tanto, el Ministerio Público reportó una cantidad menor, pero aun así se observó un ascenso sostenido. Es preciso resaltar que hubo un descenso de casos registrados en 2020, precisamente porque la ciudadanía no seguía el proceso o desconocía cómo realizarlo a través de la Fiscalía.

En ese panorama, Elías Puelles enfatizó que el incremento de esta modalidad no significa que antes no existiera, sino que ahora se ha hecho más común, lo que lleva a la ciudadanía a realizar una denuncia en la PNP o en la Fiscalía.

Asimismo, según reportes del Sidpol, todas las regiones tuvieron casos de suplantación de identidad en línea desde 2020. En los dos últimos años, Piura, La Libertad, Lambayeque, Arequipa y Lima concentran el mayor número.

Denuncias se archivan por falta de especialistas

Pese a ello, la mayoría de los casos son archivados o ni siquiera cuentan con una investigación preliminar. De acuerdo con el informe Diagnóstico multisectorial sobre la ciberdelincuencia en el Perú (2020), el Poder Judicial solo sentenció a 397 personas por delitos informáticos en los últimos cinco años. A la vez, según se indica, las instituciones públicas y privadas están desarticuladas, pues no hay una colaboración para la prevención y la sanción a los perpetradores.

Entre el 2013 y el 2020, el Ministerio Público recogió 21.681 denuncias de delitos informáticos, en los que se incluye la suplantación de identidad. De ese total, se emitieron 108 sentencias y se archivaron 12.608. Estos últimos implican el cese de la investigación sin hallar al autor de la suplantación. Pero la cancelación de la deuda depende sobre todo si se efectúa una conciliación con la empresa o por medio de Indecopi.

Uno de los motivos por los que una denuncia se archiva es la dificultad para hallar a los autores del delito, que en muchas ocasiones se debe a la falta de tecnología para detectarlos. Es así que, según el Ministerio Público, los problemas se concentran en la etapa preliminar, en la que no se puede proceder y se concluye con el archivamiento de la investigación.

Para Elías Puelles, otro indicador del estancamiento procesal es la ausencia de fiscales y policías especializados en informática y ciberdelitos. Asimismo, el especialista resalta que los operadores no saben cómo requerir información a redes sociales, páginas web u hosting en las que se almacenan las informaciones de los usuarios.

Lo anterior se corrobora con el hecho de que solo hay dos dependencias policiales de la Divindat. En estas instancias, hay 150 efectivos en Lima y 23 en Arequipa, pero solo 70 de ellos están especializados en ciberdelincuencia, de acuerdo con el Diagnóstico Multisectorial en Ciberdelincuencia (2020). Así, se muestra una brecha evidente para el tratamiento de la denuncia, pues se eleva el número de víctimas, pero no hay la cantidad necesaria de especialistas para investigar.

Un panorama similar ocurre en la Fiscalía. De acuerdo con Puelles, la falta de preparación y capacitación hizo que los fiscales tipifiquen la mayoría de denuncias en ciberdelincuencia como fraude informático, cuando se trataba de suplantación de identidad u otra modalidad delictiva.

A ello se suma que, el Boletín Estadístico 2021 del MP indica que solo existen 25 fiscales especializados en ciberdelincuencia, de los cuales tres son superiores y los otros 22 son provinciales. El personal dedicado a esta materia es uno de los más bajos, junto a los de prevención de la violencia de género. Sin embargo, para suplir esa falencia, se creó la Unidad Fiscal Especializada en Ciberdelincuencia del MP en 2020, un año después de que el Perú firmara el Convenio de Budapest, tratado internacional en ciberdelitos.

La República solicitó ahondar en la labor de esta unidad del MP, pero no obtuvo respuesta. Lo mismo sucedió con la Policía Nacional, pero no respondieron ninguno de los canales de contacto.

Empresas sin mayor supervisión

Joseph Beltrán y la madre de familia buscaron soluciones inmediatas con las empresas financieras Banco Alfin (ex Banco Azteca) y Banco Falabella, respectivamente, con las que les suplantaron la identidad. Sin embargo, al profesor le dijeron que no tenían los datos completos del préstamo que se realizó en Huacho, una ciudad donde él no reside, mientras que, a la mujer no le dieron mayores detalles para solucionar el delito. Hasta ese entonces, ambos figuraban en Infocorp.

Este medio se comunicó con ambas entidades en mención, pero estas no aceptaron directamente la vulneración de su sistema de seguridad en perjuicio de los usuarios que no eran sus clientes. Por el contrario, enfatizaron que actualizan la seguridad a través de la detección de información en tiempo real, llamadas o videollamadas. Aun así, las responsabilidades no son asumidas.

Elías Puelles refiere que falta una mayor regulación a las empresas privadas, debido a que los bancos dan respuestas incompletas o no ofrecen la ayuda necesaria al usuario, en el marco de la investigación del delito.

La entidad encargada de la supervisión a las empresas financieras es la Superintendencia de Banca y Seguros (SBS), pero su injerencia no aborda necesariamente la comisión de estos delitos, sino que se encarga de brindar recomendaciones o sanciones en caso de que no se cumpla con el reglamento estipulado en sus bases de seguridad.

“Hacemos actividades de supervisión que identifican las causas de los reclamos, como descubrir dónde está el problema o por qué se presenta. Identificamos la causa para que los problemas no vuelvan a repetirse, como requerimientos del proceso de atención de reclamos y seguridad de la información para ofrecer”, expresa Brian Sánchez, de Conducta de Mercado de la SBS.

Así también, Marco Condori, abogado de la SBS, asevera que hay lineamientos y reglamentos que la empresa debe cumplir para la contratación de los servicios, los cuales son de índole administrativa (transparentar las operaciones, las tasas de interés o brindar información periódica a los clientes). En una revisión de las últimas sanciones de 2022, las amonestaciones o multas responden a cobros excesivos de una tarjeta o no suministrar información de operaciones pasivas (ahorros, depósitos, entre otros).

Pese a ello, la vulneración de los datos de los usuarios continúa. Ante la inoperancia de muchas entidades bancarias, los ciudadanos también acuden a Indecopi. En esta entidad, hay dos procesos de solución: la conciliación (con una duración de 15 días hábiles y es gratuita) y la denuncia (120 días hábiles y con cobro adicional). En este último, la entidad se encarga de ejecutar una evaluación hasta emitir una sentencia.

Sin embargo, la injerencia de Indecopi es en función a la denuncia presentada por la persona. Así, se encarga de realizar una evaluación y de evidenciar si, en efecto, se cometió una infracción en perjuicio del usuario. Además, hay dos penalidades: la amonestación, que se da solo cuando la empresa se allana a la denuncia; y la multa, cuando esta hace caso omiso a lo imputado por Indecopi.

“Cuando se sanciona es porque la empresa no se ha allanado. Se calcula la multa en función a las operaciones con los órganos resolutivos del Indecopi; depende del tamaño de la empresa, de la infracción, del tiempo que cometiste la infracción. Las sanciones dependen mucho de la operación no reconocida”, asegura Evelin Roa, secretaria de la Comisión de Protección al Consumidor n.° 1.

La especialista recalca que Indecopi solo observa la parte administrativa, es decir, si la empresa cumplió o no con el usuario. Esa es su competencia en la materia. Sin embargo, sí puede apoyar en el caso de que las autoridades policiales o el MP inicien una investigación a la empresa financiera por la comisión de algún delito.

En ese escenario, no hay una regulación directa hacia las empresas, por lo que su responsabilidad solo puede ser determinada en un papel administrativo por Indecopi. Del mismo modo, sucede con la injerencia de la SBS, entidad que se encarga de brindar recomendaciones y sanciones por no cumplir con el reglamento.