Hace unos días se dio a conocer la noticia del servicio que permite pagar sólamente con el carnet de identidad, sin embargo, un grave problema de seguridad.
Un usuario en redes sociales reveló una vulnerabilidad que hace que sea riesgoso usar este servicio si es que no se arregla.
Pago con QR del Carnet de Identidad tiene gran vulnerabilidad
La semana pasada anunciaron el lanzamiento del servicio ConCarnet, un acuerdo entre Banco Santander y Conectados, que permitirá usar máquinas de pago electrónico con el carnet de identidad.
Según revelaron, se podrá usar este nuevo recurso en 250 mil negocios comerciales, en las diversas regiones de nuestro país.
Sin embargo, luego que se conociera esta nueva forma de pago con el carnet de identidad, usuarios en redes sociales encontraron rápidamente problemas.
En concreto, un usuario llamado Martín Illanes, que dice ser desarrollador, diseñador e ingeniero en su perfil, encontró cómo replicar el QR supuestamente personal.
"Esta es una idea tan mala, que debería ser ilegal" escribió el usuario, señalando que es relativamente fácil generar el QR que tienen los documentos. "Acá no sería necesario robar un carnet. Con saber el RUT, fecha de nacimiento, sexo, fecha de vencimiento y serie del documento se puede 'clonar el QR'" señala el usuario.
Esta es una idea tan mala, que debería ser ilegal
El QR del carnet es literal un link de este formato:
portal.sidiv.registrocivil. cl/docstatus
?RUN=<RUT>
&type=CEDULA
&serial=<SERIE>
&mrz=<F. Nac. + Sexo + F. Venc.>Con sólo esos datos se podría recrear el QR y hacer un pago https://t.co/ZXps1cwBRm
— Martín Illanes (@illanes00) May 17, 2025
Este tipo de información se puede obtener a través de un protocolo común usado en documentos de identidad, llamado Machine-readable passport, estándar usado desde los años 80 en todo el mundo.
"Esta tecnología es tan insegura que con el pantallazo de Meganoticias es posible chequear el saldo y movimientos online. Es más, les adjunto parte del QR de Liliana para que vean que alguien se podría llevar las 100 lucas facilmente" agregó el usuario. E instó a Santander y Conectados que "Eliminen rápido la APP".
Esta tecnología es tan insegura que con el pantallazo de @meganoticiascl es posible chequear el saldo y movimientos online
Es más, les adjunto parte del QR de Liliana para que vean que alguien se podría llevar las 100 lucas facilmente
Eliminen rápido la APP @getnetcl @DulceFrau https://t.co/ZXps1cwBRm pic.twitter.com/2H1PlBuiu6
— Martín Illanes (@illanes00) May 18, 2025
Cabe destacar que en montos superior a $10.000 pesos, se enviará una clave dinámica al teléfono celular, para evitar fraudes.
La respuesta de Conectados
Luego de la polémica que desató en redes sociales, Dulce Frau, CEO de Conecatados envió un comunicado a Rock & Pop desmintiendo los dichos del usuario.
“La opinión recogida por Rock&Pop es el juicio de una sola persona que no se condice con la realidad. Llevamos cuatro años trabajando con esta herramienta en más de 30 instituciones públicas y privadas, entre ellas municipios y grandes empresas. Es un sistema probado por 200.000 usuarios en todo el país. La alianza con Getnet del Banco Santander, nos permite masificar este sistema de gestión de beneficios y, a la vez, cumplir con todos los estándares de seguridad que la regulación requiere".
"Jamás ha existido problema o vulneración alguna. Lo que no señala esta fuente -o tal vez desconoce o desconocía cuando emitió su opinión- es que el código QR es solo un validador del status de la cédula (que corresponda a quien la porta, que no esté adulterada, o que tenga bloqueo por robo o extravío); la cédula no está asociada a ninguna cuenta bancaria; y -además- para proceder con la compra existe una doble validación a través de un SMS que llega al usuario” agregaron.
