Una aplicación móvil del Banco Nacional (BN) facilita el engaño que realizan estafadores a clientes de esta entidad bancaria.
Se trata de la app llamada BN Mi Banco (de ícono verde), que consiste en una plataforma de información donde se encuentran datos como la localización de las oficinas físicas o accesos a otras aplicaciones digitales que utiliza la entidad, explicó Ciliam Cuadra, de Seguridad Informática del banco.
La aplicación salió al público hace un año y la entidad busca que los clientes migren desde la app BN Más Cerca de Usted (de ícono azul) a esta.
A diferencia de lo que pasa en otras plataformas del mismo banco, en BN Mi Banco cualquier persona puede ingresar a la opción que dice “¿Olvidó su contraseña?” e ingresar el número de cédula de un cliente.
El número de cédula de cualquier ciudadano es un dato de acceso público en el Registro Civil.
Con solo introducir el número de cédula, la misma aplicación proveerá el número de teléfono celular y el correo electrónico del cliente y de inmediato ofrecerá la opción de “enviar” un código de verificación por medio de esos dos canales de comunicación.
Los timadores solo tienen que darle clic a la opción de “enviar” para que efectivamente se remita el código de verificación al cliente sin que este haya realizado ninguna gestión.
Estos mensajes que reciben los clientes y que fueron enviados por el estafador provienen de la misma dirección IP que otros mensajes reales que el cliente recibe cuando realiza un trámite en la plataforma digital de Internet Banking.
La facilidad que otorga la aplicación móvil es aprovechada por los estafadores, quienes además de enviar el código de verificación, contactan al dueño de la cuenta por medio de una llamada telefónica, haciéndose pasar por funcionarios bancarios.
Durante esa comunicación, le aseguran al cliente que con urgencia deben hacer un trámite, como el cambio de la cuenta IBAN (número de identificación para transacciones internacionales) o sino sus cuentas serán bloqueadas.
Los timadores le indican a la víctima que, para ello, le han remitido a su correo electrónico y a su celular un código de verificación, el cual deben brindarle al supuesto funcionario bancario, quien lo usará para cambiar la contraseña, entrar a la cuenta del cliente, realizar transacciones y así sustraer el dinero.
El correo electrónico y el mensaje de texto que recibe la víctima hacen que el timo sea mucho más creíble, consideró Francisco Segura, exdirector del Organismo de Investigación Judicial (OIJ), con más de 30 años de experiencia en investigación de fenómenos criminales.
“Ninguna institución puede revelar datos como el correo de uno para facilitar el engaño por parte de terceros. Esa facilitación de datos no la están haciendo para permitir el engaño, pero los estafadores ven esas debilidades y toman ventaja de eso”, explicó el exagente judicial.
El abogado y experto en ciberseguridad, José Adalid Medrano, consideró que “en el tanto (los bancos) se dan cuenta de que hay delincuentes utilizando herramientas legítimas del banco para engañar a clientes, deben buscar la forma de evitar que las usen, como es el caso de una aplicación móvil para enviar mensajes que dan legitimidad para engañar a las personas”.
El especialista agregó que la institución también debe prevenir a los clientes acerca de que los timadores suplantan la identidad del banco mediante el uso de aplicaciones que clonan el número telefónico de la entidad bancaria.
Medrano opinó que el banco debería emplear un mecanismo diferente para recuperar la contraseña. “El correo personal y el número de teléfono son datos personales que el banco debería resguardar y proteger para que no sean accedidos por terceros malintencionados”.
En una revisión realizada por UNIVERSIDAD sobre las plataformas digitales del Banco Nacional, se detectó que si un usuario ingresa por medio de una computadora e intenta recuperar la clave, el sistema le pedirá datos como el número de la tarjeta y pin, para aprobar el envío de un código de verificación.
Si el usuario utiliza la aplicación móvil BN Más Cerca de Usted (de ícono azul) para hacer ese procedimiento se le solicitará el OTP (número de token), que está en un dispositivo físico con el que solo cuenta la persona.
En los dos casos anteriores no se remite ningún correo electrónico a menos que el cliente ya haya brindado previamente información sobre su tarjeta o token, a diferencia de lo que ocurre con la app BN Mi Banco, en la que con solo el número de cédula un tercero puede remitir el correo.
No obstante, voceros de la entidad bancaria sostienen que la responsabilidad final en este tipo de estafas recae en el cliente por facilitar a los maleantes el número de verificación.
David Hernández, director de Seguridad del Banco Nacional, argumentó que en todos los procedimientos empleados para validar la identidad del usuario, se solicita información “que el cliente tiene” y que, en el caso particular, la estafa no se concreta si el dueño de la cuenta no brinda al delincuente el código de verificación que le llegó al correo.
Hernández subrayó que incluso ese correo o mensaje de texto se envían con una leyenda que advierte que el código es de uso personal y que no se debe facilitar a terceros.
El funcionario agregó que las distintas aplicaciones o plataformas tienen “diferentes formas de validar un proceso de seguridad” y aseguró que “todas son aptas para el proceso que se está ejecutando en este momento”.
“Recordemos que el correo y el teléfono no son datos de seguridad. El hecho de que yo la llamo a usted a un teléfono no significa que estoy hablando con usted, no es lo que la identifica a usted. El hecho de que le envíe un correo a su dirección de correo no significa que la estoy contactando”, alegó Hernández.
Ciliam Cuadra, de Seguridad Informática del Banco Nacional, indicó que por ser la empresa bancaria más grande del país, esta entidad “es revisada por todas las auditorías externas e internas. Todas las superintendencias son parte de nuestro proceso. Nosotros hemos tenido que defender todos los procesos con todos los peritos que la Corte ha designado (cuando ocurren estafas). Adicionalmente tenemos que pasar por las pruebas de Mastercard, de Visa. Son certificaciones internacionales importantes”, resaltó.
Los funcionarios indicaron que por mes ocurren entre 20 y 30 estafas. Mientras que el total de transacciones digitales diarias es de 400.000 o hasta 700.000 en días pico.
El banco no recibe denuncias de los intentos de estafa porque no se dio el perjuicio, según pudo constatar UNIVERSIDAD al llamar al centro de contacto de la institución, y así lo confirmaron Hernández y Cuadra. Sin embargo, estos funcionarios aseguraron que si un cliente sufrió un intento de fraude puede contactar con la Contraloría de Servicios para pedir información o también brindar datos sobre lo ocurrido.
Más creíble
Víctimas, abogados y expertos en seguridad coinciden en que, aunque la estafa no se configura si el cliente no revela el código de verificación ante el estafador, el hecho de que este número llegue al correo electrónico o al teléfono sin que el cliente haya realizado ninguna gestión, hace mucho más creíble el timo en el momento en que se recibe la llamada.
Esta fue la situación que le ocurrió en julio pasado al exministro de Planificación, Roberto Gallardo, quien confiado en que se trataba de una conversación con un funcionario bancario, brindó el número que le llegó a su correo.
“Cuando me empezaron a pedir cierta información y expresé mi duda, la persona me dijo que me iba a poner a su supervisor y me pusieron en espera con la música del banco y ahí ya uno se queda pensando: ‘sí, es el banco’. Pero después, cuando uno recibe los mensajes que son de la plataforma del banco, uno identifica bien el correo del que se envía y lo ve con respecto a otros correos que ha recibido, que es exactamente la misma cuenta, entonces uno dice: ‘sí, está bien’”, narró Gallardo, quien consideró se trata de una “debilidad en el sistema”.
Una situación similar vivió Manuel Varela, un pensionado del sector público que reside en Alajuela y actualmente tiene una pequeña empresa dedicada a brindar servicios de mantenimiento eléctrico.
Según su relato, en julio del año pasado él recibió varias llamadas supuestamente del banco nacional, junto con seis correos y mensajes de texto que contenían códigos de verificación.
No obstante, en el caso de Varela, él sostiene que en ninguna de las llamadas accedió a brindar datos a sus interlocutores y que mucho menos ingresó a Internet Banking porque desconoce cómo utilizar esa plataforma digital.
No obstante, cuando posteriormente fue a sacar dinero del cajero automático se percató de que tanto su cuenta personal como la de la empresa fueron vaciadas, con un perjuicio cercano a los ¢5 millones, según dijo. Parte de ese dinero se usó para hacer unas 80 recargas telefónicas a números prepago que actualmente aparecen desactivados.
Incluso, una tarjeta de crédito que tenía reservada para alguna emergencia empresarial fue utilizada para transferencias de dinero, relató.
“Nunca recibí una llamada del banco alertándome sobre esas transacciones”, cuestionó Varela en entrevista con UNIVERSIDAD.
Varela presentó una denuncia en el Organismo de Investigación Judicial (OIJ), entidad que un mes después elaboró un informe y, con base en este, la Fiscalía de Alajuela ordenó el archivo de la causa porque “no existe prueba alguna que permita la identificación del responsable del delito”.
El Banco Nacional, por su parte, rechazó el reclamo administrativo del cliente pues argumentó que existía “evidencia de un compromiso de datos personales y confidenciales que obran exclusivamente en poder del señor (cliente)”.
Varela, sin embargo, presentó una apelación pues el banco se abstuvo de mostrarle la “bitácora de eventos del servicio de Internet Banking”, con base en la cual rechazó el reclamo del afectado.
Ewald Acuña, abogado de Varela, dijo a UNIVERSIDAD que el Banco Nacional ha estado “reacio” a entregar dicha información.
El jurista detalló que en casos de estafas, si el ofendido por error suministró los datos de acceso a su cuenta, no cabe un reclamo contra el banco sino una denuncia en el OIJ. Pero, que si el cliente asegura que nunca entregó sus datos a terceros, sí cabe un reclamo contra el banco pues este debe demostrar que el cliente reveló esa información.
Varela tuvo que sacar un préstamo con el mismo Banco Nacional para pagar la deuda que se generó en su tarjeta de crédito a raíz de la estafa, pues se le había advertido que quedaría manchado en su historial crediticio. Además, tenía compromisos pendientes como el pago de salarios de sus empleados, según narró.
El empresario criticó además que, a pesar de que su tarjeta de débito contaba con seguro contra fraudes, este nunca se hizo efectivo porque se le responsabilizó a él por las transacciones que se realizaron.
Crimen organizado
El jefe de la sección de Fraudes del OIJ, Esteban Obando, informó de que entre el 1º de enero del 2017 y el 30 de agosto del 2018 se recibieron 931 denuncias por fraudes en los que los delincuentes se hacen pasar por empleados de bancos o por funcionarios del Ministerio de Hacienda, quienes intentan engañar con un supuesto trámite para obtener la factura electrónica. El perjuicio económico de los afectados es de más ¢3.100 millones.
Al método se le conoce como ingeniería social y consiste en manipular psicológicamente a la víctima para lograr que proporcione información.
“Muchos de estos casos vienen fraguados desde algún centro penal”, indicó Obando.
El jefe policial explicó que en estos casos suele identificarse y detenerse a las personas que reciben el dinero, pero que muchas de ellas desconocen para qué estaban prestando sus cuentas bancarias.
Más difícil se vuelve identificar a quienes realizan las llamadas o elaboran los planes de estafa, pues los timadores emplean teléfonos prepagos que no cuenta con la identificación correcta del abonado. “Lo hemos expuesto en diferentes foros en los que participamos e incluso ante la entidad reguladora a nivel nacional”, dijo Obando.
El agente confirmó que se trata de crimen organizado porque “son bandas totalmente estructuradas con definición de funciones. Hay grupos que se dedican a reclutar personas, otros a ubicar cuentas bancarias, hay gente que se dedica exclusivamente a recabar información y hay gente que se dedica a hacer las llamadas y a toda la parte logística”, describió.
De momento, no se ha detectado que haya funcionarios bancarios ligados a los grupos. Para Obando, es indispensable que los clientes de las entidades se abstengan de dar información por teléfono que incluya datos como claves bancarias, números de token o códigos de verificación.
