Denuncian graves fallas de seguridad en nuevo sistema de pago con carnet que lanzó Santander: “Eliminen rápido la aplicación”

Desde ayer domingo, miles de chilenos tienen la alternativa de acceder a un nuevo método de pago: solo requieren de su carnet de identidad. Esto, gracias a ConCarnet, un acuerdo entre Banco Santander y Conectados que permitirá la transacción en máquinas Getnet.

Previamente, el carnet de identidad funcionaba para corroborar los datos personales de un individuo, por lo que se solicitaba en diversos trámites, desde asistencias de salud hasta viajes. Pero ahora se suma una nueva función, pues los chilenos podrán pagar con el documento.

Desde ahora, en más de 250.000 equipos POS del adquirente se podrán realizar pagos utilizando la cédula e identidad.

Con todo, en redes sociales han surgido dudas sobre la seguridad del sistema. El diseñador e ingeniero Martín Illanes, por ejemplo, advirtió en la plataforma X que es posible revisar el saldo y los movimientos online de otras personas, y puso a prueba aquello rescatando un pantallazo televisivo del código QR presentado en una nota del canal Mega.

Incluso compartió un registro parcial del QR de una beneficiaria para ilustrar su punto, alertando sobre la posibilidad de que alguien pudiera robar montos de bonos estatales.

“Esta tecnología es tan insegura que con el pantallazo de Mega es posible chequear el saldo y movimientos online. Es más, les adjunto parte del QR de Liliana para que vean que alguien se podría llevar las 100 lucas fácilmente. Eliminen rápido la aplicación”, apuntó.

“Los que prestaron sus cédulas para el reportaje les recomiendo bloquear y reimprimir sus carnets. Mal Mega por no censurar información sensible”, agregó.

Pago con carnet es “súper inseguro”

Al ser consultado sobre el tema, Alonso Astroza, profesor de la Facultad de Ingeniería de la Universidad del Desarrollo (UDD), recalca que “basta tener datos de la persona, como su nombre, su rut y su fecha de nacimiento, para poder generar uno mismo ese enlace. Es súper inseguro, basta con conocer a la persona y tener unos datos de ella para poder entrar a este sitio donde está su historial de dinero y eventualmente incluso podría hacer una transacción”.

“Es inseguro, porque cualquier persona que tenga esos datos de mí puede acceder a mi información, y por supuesto, dependiendo de los niveles de seguridad que el comercio en cuestión me imponga, incluso poder usar el dinero”, acota Astroza.

En tanto, Claudio Álvarez, académico de la Facultad de Ingeniería y Ciencias Aplicadas de la Universidad de Los Andes, plantea que “el primer problema es una falta de autenticación que deriva en un compromiso de la privacidad. Y el segundo problema, es que realmente se pueden hacer transacciones por montos bajos, contando con el QR de una persona. Todo eso tiene forma de ser subsanado. Yo considero que esto de tener como una especie de monedero asociado a la cédula puede ser muy práctico para una vasta mayoría de la población, sin embargo, se requiere implementar ciertos recuerdos de seguridad que son esenciales”.

Cómo funciona el pago

Respecto de las alertas levantadas, Dulce Frau, CEO de Conectados, declara se trata de “juicios que no se condicen con la realidad. Llevamos cuatro años trabajando con esta herramienta en más de 30 instituciones públicas y privadas, entre ellas municipios y grandes empresas. Es un sistema probado por 200.000 usuarios en todo el país. La alianza con Getnet del Banco Santander, nos permite masificar este sistema de gestión de beneficios y, a la vez, cumplir con todos los estándares de seguridad que la regulación requiere”.

“Jamás ha existido problema o vulneración alguna. Lo que no señalan estas tres fuentes -o tal vez desconocen o desconocían cuando emitieron su opinión- es que el código QR es solo un validador del status de la cédula (que corresponda a quien la porta, que no esté adulterada, o que tenga bloqueo por robo o extravío); la cédula no está asociada a ninguna cuenta bancaria; y -además- para proceder con la compra existe una doble validación a través de un SMS que llega al usuario”, asevera Frau.

Desde la fintech chilena Conectados aseguran que ConCarnet permite -hasta el momento- pagar directamente con la cédula de identidad en más de 250.000 comercios habilitados en todo Chile gracias a la alianza con la red de Getnet de Santander, la cual incluye supermercados, farmacias, ferreterías, tiendas de ropa, librerías y otros comercios.

No requiere trámites, ni apps, ni cuentas bancarias. El carnet es universal, personal, validado por el Estado y siempre está con cada chileno. En cambio, abrir una cuenta o sacar una tarjeta tiene fricciones que muchas veces excluyen.

Basta con que una institución (empresa, municipalidad o alguna repartición del Estado) haya cargado dinero al RUT de la persona. Luego, en cualquiera de los 250 mil puntos de venta de Genet, el carnet se utiliza igual que una tarjeta de pago. Se acerca a la máquina portátil, que lee la información vía infrarrojo desde el código QR. Todo es más fácil y automático.

ConCarnet nació para enfrentar desafíos reales como la exclusión financiera, la distribución ineficiente de beneficios y la falta de cobertura en canales tradicionales como gift cards o cajas físicas. Además, desde la compañía señalan que evita la pérdida de fondos no utilizados gracias a una trazabilidad completa, reportería automatizada y trazabilidad en línea.