Por Brian Orsak
[email protected]
Los bancos pronto necesitarán actualizar la forma en cómo manejan los números de Seguridad Social de los clientes – la principal identificación de los ciudadanos estadounidenses.
Para tratar de combatir el robo de identidad, los legisladores federales y estatales de EE.UU. han anticipado una serie de iniciativas que restringirían la forma en que los bancos y otras compañías utilizan los números de Seguridad Social para identificar a los consumidores.
Dos proyectos de ley aprobados por comités parlamentarios el mes pasado limitarían las oportunidades en que las instituciones financieras podrían comprar y vender esa información.
Las medidas se producen luego de varias infracciones de alto perfil que han concentrado la atención gubernamental sobre la protección de la información. En marzo, el negocio minorista TJX Cos. de Framingham, estado de Massachusetts, informó que los números de 45,7 millones de tarjetas de crédito y débito contenidas en su base de datos habían estado expuestas a la actividad de hackers.
Y el 5 de mayo, la Administración de Seguridad en el Transporte de EE.UU. anunció que había sido hurtado un archivo de computación conteniendo los números de Seguridad Social de más de 100.000 empleados.
“Es inevitable que vaya a existir una prohibición sobre los números de Seguridad Social como uno de los principales medios de identificación”, dijo Roger Sullivan, presidente de la junta de Liberty Alliance, una organización que desarrolla estándares tecnológicos para el manejo de identidad.
Las restricciones propuestas van desde limitar la cantidad de dígitos que las instituciones financieras pueden conservar en sus registros hasta la prohibición completa del uso de los números de Seguridad Social como identificadores, salvo cuando sean requeridos legalmente.
Fraude, lavado de dinero
Los legisladores quieren limitar el uso de los números de Seguridad Social en registros electrónicos para proteger a las entidades comerciales y a los consumidores frente al hurto y al fraude. Los ladrones que adquieren números de Seguridad Social posiblemente no hurtan directamente a los individuos, pero pueden utilizar la información para crear identificaciones falsas y abrir cuentas para cometer fraude y lavar fondos obtenidos ilegalmente.
El mes pasado, el corredor de hipotecas de Arizona James J. Rose se declaró culpable de cargos relacionados con lavado de dinero después de haber obtenido más de US$760.000 utilizando 250 tarjetas de crédito solicitadas con nombres falsos pero con números de Seguridad Social verdaderos. Rose posteriormente lavó el dinero a través de varios negocios ficticios y cuentas personales bancarias, según la oficina del Fiscal Federal en Arizona.
Los bancos deberían hacer frente a más costos derivados del consiguiente fraude y lavado de dinero, así también como asumir la carga administrativa de cambiar la información de la cuenta de los consumidores interesados.
“Leyenda sobre la pared”
Aunque algunas iniciativas no han tenido éxito en el pasado, la atención de los medios originada por los hechos cometidos por TJX y otro caso – junto con el control del Congreso por parte del Partido Demócrata – aumentan la posibilidad de que la ley será aprobada durante el período legislativo en curso, dice Peter Swire, profesor sobre temas de privacidad en la facultad derecho en la Universidad del Estado de Ohio.
El 79 por ciento de las 23 principales instituciones financieras de EE.UU. le permite a los consumidores autenticar sus identidades con números de Seguridad Social, mientras que el 26 por ciento le permite a los consumidores hacer lo mismo por vía telefónica, según un informe de 2006 preparado por Javelin Research & Strategy de Pleasanton, California.
“Es paradójico que cuando usted consulta los sitios en Internet de estos bancos, le dicen que proteja a su número de Seguridad Social, pero cuando usted ha perdido su nombre de usuario, automáticamente los consideran como una forma de autenticación”, dijo Rachel Kim, asociada de investigación en Javelin, quien recomienda que los legisladores prohíban a las compañías que informen u obliguen a los consumidores a completar los nueve dígitos del número.
A comienzos de este mes, el Comité de Energía y Comercio de la Cámara de Representantes de EE.UU. aprobó un proyecto que prohibiría la compraventa de números de Seguridad Social para usos considerados inadecuados por parte de la Comisión Federal de Comercio. En abril, el Comité Judicial del Senado aprobó una medida que limitaría a las compañías no financieras el intercambio de números de Seguridad Social cuando son entregados junto con otra información personal, como los domicilios.
Pero las instituciones financieras posiblemente se opondrán a cualquier proyecto que limite el intercambio de números de Seguridad Social entre ellas, según Lynne Strang, vocera de la Asociación Estadounidense de Servicios Financieros, un grupo sectorial de las instituciones financieras en Washington, D.C.
Las restricciones sobre la compraventa de los números le impediría a las instituciones verificar información en casos de fraude, dijo, agregando que los números son la mejor forma que tienen los bancos y otras instituciones de autenticar las identidades de los consumidores.
“Hay que ser cuidadoso en cuanto a qué clases de transacciones se incluyen en los proyectos”, dijo Nancy Perkins, abogada de la oficina de Washington, D.C. de Arnold & Porter LLC. “Podrían existir argumentos para tratar de aplicar [prohibiciones sobre las transacciones] que podrían ser muy amplias, y simplemente podrían ser demasiado amplias”.
Números nuevos, mismos problemas
Limitar el uso de los números de Seguridad Social obligaría a las instituciones financieras a generar otros números a ser utilizados como identificadores, según John Hudson, abogado a cargo del tema privacidad en la firma de abogados Troutman Sanders LLP, de Atlanta, estado de Georgia. Esa información adicional sería más fácil de perder y sería más difícil de verificar por parte de las entidades comerciales, lo que aumentaría los gastos de los bancos, dijo.
“Si usted quita de circulación el número de Seguridad Social, entonces se va a generar más información”, dijo.
Pero la adopción de otros identificadores, incluidos los números generados al azar y los soportes USB, es inevitable, de acuerdo con Sullivan, quien también es vicepresidente de desarrollo de negocios de una subsidiaria de Oracle dedicada al manejo de identidad, en Redwood City, California.
“El acceso debe ser más sofisticado”, dijo, agregando que las instituciones elaborarán en forma independiente sistemas de seguridad que serán más costosos y que demandarán más tiempo, pero que finalmente serán más seguros.
Solución costosa
Si bien la prohibición del uso de los números como principales identificadores protegería mejor la información frente al robo sofisticado, “obligaría a las instituciones financieras a dirigir su atención a la forma en que se elaboran sus bases de datos y la manera en que realizan sus búsquedas e investigaciones”, dijo. “Sería una solución costosa”.
Algunas restricciones menos severas podrían permitir a las instituciones agregar seguridad a sus sistemas conservando los números en bases de datos, y requerir identificadores adicionales para acceder a las cuentas, dijo Sullivan.
“Podría ser suficiente a corto plazo para hacer que “los malos” tengan que sortear un par de obstáculos más de los que tienen que sortear actualmente”, dijo.
Kim dijo que las medidas parlamentarias podrían ser demasiado pocas, y demasiado tarde. “Usted puede aprobar todas las leyes que quiera, pero en realidad lo que deben aplicar las instituciones son sus mejores prácticas”, dijo.
Ninguna ley federal puede ser muy efectiva a menos que se haga algo con respecto a la gran cantidad de información de identificación personal, incluyendo los números de Seguridad Social, disponibles en línea a través de los registros públicos, según BJ Ostergren, fundador de Virginia Watchdog, un sitio de Internet que informa la documentación que los estados publican en línea.
Dado que muchos números de Seguridad Social se obtienen fácilmente, el efecto de la ley tendría un impacto mínimo sobre el hurto de identidad a corto plazo, de acuerdo con David Sohn, asesor del Centro de Democracia & Tecnología, en Washington, D.C.
“Este caballo ya se escapó”, dijo.
