La Superintendencia de Pensiones de Chile informa que como resultado de un acceso fraudulento al sitio web de AFP Cuprum, ocurrido entre el 27 de enero y el 4 de febrero pasado, ocho afiliados de esa administradora fueron afectados por solicitudes de traspasos sospechosas de sus cuentas con destino a AFP Provida. Luego que los propios afiliados denunciaran este hecho al call center de la administradora, ésta detuvo de inmediato el traspaso de cuatro de ellos.
Si bien los restantes cuatro afiliados fueron traspasados de manera irregular a AFP Provida, tras aplicarse el reclamo normativo que contempla la legislación comenzó el procedimiento establecido para la restitución de las cuentas de los afiliados y sus respectivos fondos. Esta Superintendencia está en condiciones de asegurar que las personas afectadas por esta situación se encuentran con sus fondos de pensiones debidamente resguardados
Tras ser informados de esta situación, la Superintendencia ha desplegado un proceso de fiscalización intensivo a la actuación de ambas administradoras, con el objetivo de velar por el correcto cumplimiento de lo establecido en la normativa tanto para la restitución de las cuentas y sus respectivos fondos, como también respecto del fortalecimiento de los controles internos de las operaciones que se realizan en el sistema. Esto, con el objetivo de que las administradoras aseguren la fidelidad de las operaciones que realizan a diario sus equipos de ventas y evitar perjuicios a los afiliados.
Según ha señalado AFP Cuprum a este organismo, el traspaso de los cuatro afiliados desde esa administradora hacia AFP Provida se realizó a través del sitio web de esta última, mediante la utilización irregular de las claves de acceso y seguridad de los afiliados. Cuprum tomó conocimiento de esta situación por denuncias de sus afiliados recibidas en su call center.
A la fecha se ha determinado que los defraudadores utilizaron los procedimientos de restitución de claves, para lo cual debieron conocer información de carácter personal de los afiliados afectados. Para suplantar la identidad, en cada caso, el o los responsables del eventual fraude utilizaron las preguntas de seguridad que permiten resetear la clave de acceso en el sitio web de AFP Cuprum y, posteriormente, con el mismo mecanismo obtuvieron la clave de seguridad.
En reunión sostenida entre las autoridades de la Superintendencia y los representantes de AFP Cuprum, estos reportaron que se constituyó un equipo para este caso integrado por auditoría interna, compliance, gerencia de riesgos y oficial de seguridad de la administradora. Con AFP Provida, la reunión de supervisión se realizará la próxima semana.
Tras el análisis de los patrones de las transacciones, se constató que éste consistió principalmente en el reseteo de las claves de acceso y claves de seguridad de los afiliados, obtención de certificados de cotizaciones, cambio de datos de contacto y, finalmente, traspaso de AFP.
Hasta este 19 de marzo, según AFP Cuprum se han identificado 67 casos en los cuales se cumple el mismo patrón de transacciones. Luego de haber contactado a la mayoría de los afiliados, se verificó que esas personas sí realizaron traspasos de sus fondos de pensiones, por lo cual, en estos casos, en principio, no habría una acción irregular o fraudulenta.
Esta Superintendencia ha estado auditando la seguridad de la información y las políticas implementadas por las administradoras en ese ámbito, para lo cual en 2018 desarrolló un taller cerrado para las AFP y AFC sobre esta materia. Además, instruyó a cada una de las administradoras para que revisaran sus procedimientos internos, con el objetivo de detectar las principales fortalezas y debilidades que tienen sus sistemas de seguridad de la información, presentando a esta Superintendencia un informe con propuestas de mejora en ese tema. Dichos reportes están siendo analizados por este organismo.