En el transcurso de los días se han dado diversas posiciones de entendimiento e interpretación sobre las medidas obligatorias para proporcionar la geolocalización de las operaciones financieras realizadas por medios electrónicos, por una parte se hace referencia a que este “nuevo” dato, es un dato personal y algunas personas lo interpretan como sensible, por el hecho de que puede generar un perfil y por otra parte que hay una afectación a la privacidad, esto es cierto?
Para evaluar esta situación voy a poner dos ejemplos de dos ciudadanos mexicanos que denominare CC (Ciudadano Común) y CD (Ciudadano con potencial delictivo). CC es un ciudadano que en su contexto, es empleado de una empresa XX en la Ciudad de México y que su domicilio también se encuentra en Ciudad de México. Por su parte CD tiene su domicilio en algún lugar del país y que se le ubica en diferentes localidades, no tiene un empleador.
Una vez que he contextualizado a estos ciudadanos voy a estudiar un conjunto de dos semanas de operaciones de cada uno de estos individuos, empezaré con CC. CC cómo el común de los mexicanos, cuenta con diversos productos en el sistema financiero, como hipoteca, cuenta de nómina y una tarjeta de crédito, todos los productos los tiene con la misma institución. Pará la contratación de estos productos CC tuvo que comprobar su domicilio y potencialmente si la dirección en el sistema fue capturada correctamente se puede tener su ubicación geográfica. Por otra parte, para la hipoteca, se requiere que se presenten un conjunto de documentos que acrediten la ubicación del bien inmueble, por lo que también es una ubicación que se puede rastrear de forma confiable si se captura correctamente en el sistema.
En este sentido también es importante destacar que, al tener un empleador, este tiene una cuenta registrada en alguna institución financiera para hacer la dispersión de nómina, para lo cual XX que es la empresa contratante también tiene una ubicación geográfica rastreable, que potencialmente es la ubicación en la que CC trabaja o bien si tiene diversas sucursales están se encuentran registradas en las plataformas gubernamentales y son susceptibles de ser obtenidas.
CC, comúnmente lleva su comida a la oficina en recipientes, pero en las semanas de análisis se le hizo sencillo salir a comer en los restaurantes que se encuentran en su zona de trabajo, para lo cual paso a retirar dinero cerca de su domicilio en un cajero, mismo que tiene una ubicación geográfica claramente identificada. Al tercer día de la semana agoto sus recursos y teniendo poco tiempo para ir a comer decide hacer un pedido hacia la ubicación de su oficina y pide realizar el pago con terminal en el sitio de entrega, para lo cual el comercio lleva una terminal conectada por GPRS, mismo que genera una ubicación geográfica de la transacción relacionada con la tarjeta, esta ubicación estará restringida a las características técnicas del dispositivo de cobro.
El viernes de esa semana CC olvida la tarjeta en su domicilio pero recuerda que tiene en su aplicación móvil la posibilidad de realizar un retiro sin tarjeta, y pasa aún cajero rumbo a su trabajo a realizar el retiro, mismo que también tiene una ubicación geográfica. Ya por la tarde sus compañeros de trabajo de CC acuerdan ir a un lugar a festejar, pero CC recuerda que no tiene sus tarjetas y tampoco dinero en efectivo suficiente, pero recuerda que su aplicación le permite realizar pagos por CODI o bien hacer pago con la terminal por NFC, así que decide ir a la celebración. Al pagar en el lugar convenido, la terminal acepta cobros con NFC y la terminal deja un registro de la operación con la dirección del comercio a través del registro de la afiliación, que es un dato que es único en el sistema financiero y también tiene una u ubicación geográfica.
El sábado llegan sus padres de CC a su domicilio para quedarse en su casa por una semana y CC en su gran aprecio sobre la visita les comenta que todos los gastos de la semana corren por su cuenta, por lo que el primer día pide comida a domicilio y deja la tarjeta a uno de sus padres para que pague los alimentos mientras que él se lleva la otra tarjeta para ir a comprar las bebidas a un supermercado, lo que genera dos ubicaciones geográficas en instantes cortos de tiempo.
Durante el fin de semana se realizan diversas transacciones en diversos comercios dejando una traza de su ubicación geográfica con base en los números de afiliación en donde se realizaron las compras, llega el Lunes y CC se va su trabajo, ya casi llegando a su trabajo se da cuenta que se equivocó de equipo telefónico y que el teléfono que traía era de su madre y al haber dejado sus tarjetas a sus padres su única opción es que se haga retiro sin tarjeta, en donde la ubicación geográfica de la operación de puesta a disposición es de su domicilio y el retiro se hace en la ubicación cerca de su trabajo.
Mas tarde sus padres de CC deciden ir a un museo en la Ciudad y llevan el teléfono de CC por si surge alguna emergencia, en el transcurso de la tarde surge la necesidad de CC de realizar una transferencia para el pago de un servicio, para lo cual le habla a su madre para que haga la transferencia lo más pronto posible, la madre realiza la actividad y se genera una ubicación geográfica de donde se encuentra el dispositivo.
CC pide vacaciones y deciden ir a visitar las pirámides de Teotihuacán, en la carretera pagan con tarjeta por lo que se va dejando el rastro de las ubicaciones de cada afiliación con las que se realiza el pago, después deciden ir a comer a otro lugar cerca de Hidalgo y ya en camino le habla un amigo a CC pidiéndole de favor que le traspase 500 pesos de forma urgente, por lo que CC se orilla en la carretera y busca señal para hacer la operación y al no encontrar se va una gasolinera donde le prestan Internet y realiza la operación conectado al Wifi y la ubicación que se pone es la de la dirección IP que es la registrada por el proveedor de servicios de Internet que tiene un registro en el centro de Pachuca y el establecimiento se encuentra en Ciudad Sahagún.
Con estas situaciones que pueden parecer muy hechas a la medida queda claro que hay una gran cantidad de escenarios, pero ahora analicemos la situación de CD.
CD, de primera instancia no realiza directamente el registro de la cuenta ya que le pide a RR que abra la cuenta y que le pase los datos de registro y que el alta de banca móvil lo haga en un teléfono sin registro que se compra en una tienda, una vez que se tengan los registros RR debe pasar a dejar los datos y el teléfono a YY que es empleado de CD, YY se dedica a realizar las operaciones a través de una computadora con VPN y se apaga la ubicación del teléfono, si bien requiere de una comprobación esta puede ser por SMS, por lo que la ubicación que se tiene en este caso es la del comprobante de domicilio presentado por RR y la registrada en la dirección IP de la VPN que dio de alta YY si bien aplican escenarios en donde se realizan retiros sin tarjeta no se asegura que sean las mismas personas.
Con todos estos datos es importante reconocer que la ubicación geográfica no está directamente relacionada con un individuo sino con un dispositivo que puede ser traspasado de mano en mano, por lo que no es atribuible la ubicación a un individuo identificado o no lo hace más identificable.
También se debe validar que el sistema financiero cuanta con mucha información para realizar el perfil de ubicación de cada uno de los usuarios de los servicios financieros y que no se encuentra relacionado con la ubicación de los dispositivos del usuario del servicio financiero.
Las ubicaciones geográficas no en todos los casos son precisas y en una ubicación geográfica con los rangos de precisión no en todo momento se identifica a una sola persona, ya que en casos como edificios, oficinas y lugares públicos hay múltiples personas con la misma ubicación geográfica.
En el óptimo escenario una ubicación puede ser un dato personal, pero en condiciones múltiples como préstamo del teléfono, computadoras compartidas, transacciones en café Internet, redes públicas, no es del todo atribuible, en temas de fraudes se ha demostrado que se puede suplantar la identidad del dispositivo para realizar las transacciones sin importar la ubicación geográfica.
La solución para poder acreditar que existe un vinculo entre el usuario del dispositivo y la operación financiera se encuentra en la toma de los datos biométricos en los diversos canales de interacción con el cliente de los servicios financieros, lo que llevaría a un conjunto de características mínimas en los equipos de cómputo y dispositivos móviles para su integración así como una estandarización del hardware y software lo que acercaría la necesidad de integración de modelos como los Criterios Comunes para el procesamiento y aseguramiento de la información.
Iván Díaz González como parte de su formación académica cuenta con:
• Ingeniería en Sistemas Computacionales
• Licenciatura en Derecho
• Maestría en Gestión de Tecnologías de la Información
• Doctor en Derecho
Ha obtenido diferentes certificaciones en el ámbito de tecnologías y seguridad de la información entre las que destacan CISSP, CISM, CDPSE (Protección de datos personales), CCSK, ISO 27001, ISO22301, Ciberinteligencia, Hackeo, ITIL y COBIT.
Cuenta con 16 años de trayectoria en el ámbito de las tecnologías y seguridad de la información y comunicaciones. Es socio de LEX INFORMÁTICA ABOGADOS.
Ha fungido como perito informático en procedimientos penales, civiles y mercantiles, en el periodo 2020-2022 ha sido miembro de la lista de personas que pueden fungir como peritos para el Poder Judicial de la Federación.