CIBERESTAFAS entorno a los Bancos
Caso ocurridos en Ecuador que bien podrían pasar otros países. Al final usamos tecnología y procesos muy comunes.
Transformación digital del crimen organizado
Aprincipios de septiembre de 2021, Diana* recibió una llamada del Banco del Pacífico, en el que tiene una cuenta que casi no usa. Le dijeron que estaban haciendo un chequeo de seguridad y que ella debía confirmar información y entregarles algunos códigos. Desde el discurso hasta las preguntas que le hicieron, todo parecía ser un procedimiento estándar, pero para el final de la llamada, Diana tenía 400 dólares menos en su cuenta.
A Diana no le llamó la atención lo que le decía la persona que la llamaba porque utilizaba frases que utilizaría cualquier institución financiera. Usaron su nombre completo, le dijeron que la llamada estaba siendo grabada, que no debía darle el número de cuenta ni entregarle su contraseña. “Por esa parte a mí ya me envolvió, como que me dio seguridad”, dice Diana. Le dijeron que solo le pedirían varios códigos que serían parte del procedimiento de verificación. Diana dice que aceptó porque la explicación le pareció razonable. “Estaba súper bien aprendido el discurso, tal cual cuando los bancos llaman”, dice. Por eso aceptó hacerlo.
A Carmen* también le robaron dinero de su cuenta del Banco del Pacífico, pero usaron otro método para hacerlo. Ella estaba ahorrando dinero para comprarse un carro y tenía más de 8 mil dólares para ese propósito. En enero de 2021, revisó su cuenta bancaria —algo que la mujer guayaquileña de más de 60 años hacía con frecuencia— y sorprendida notó que más de 7 mil dólares ya no estaban ahí.
El hombre que llamó a Diana le dijo que iba a ingresar al sistema y que le llegaría un código para revisar varios “filtros de seguridad”. Diana recuerda que en el fondo de la llamada se escuchaba como la otra persona digitaba. Le llegó un mensaje de texto que decía que el Banco del Pacífico le informaba que se generó la clave transaccional y adjuntaba un código. “Como yo no estaba dando mi clave, ni mi usuario, no dudé y le di el código”, dice. Hasta ese momento, nada le parecía fuera de lugar.
Después de que le entregó el primer código, el hombre le dijo que seguirían con el siguiente filtro de seguridad. “Comenzó con otro discurso y creo que me perdí”, dice. Le llegaron dos códigos más y se los dio. Con el teléfono en la oreja y todavía en la llamada, Diana intentó ingresar a su banca electrónica, pero no pudo. “Me dijeron que no podía hacerlo porque estaban haciendo lo de los filtros”, dice. Este tipo de delitos se conocen como vishing. El término se utiliza para identificar cualquier ataque a través de llamadas telefónicas o mensajes de voz en el que se engaña a las víctimas y se les roba información sensible. Un delito muy similar —y que puede ir de la mano— es el smishing, en el que el engaño se hace a través de mensajes de texto.
El vishing y el smishing son similares al phising, un ataque informático que se hace haciendo una suplantación de identidades a través de correos electrónicos. Este tipo de estafas son el delito cibernético más reportado en todo el planeta. El objetivo es engañar a las personas para obtener datos confidenciales como contraseñas e información bancaria. Según el abogado Estupiñán, hay casos de phishing en los que se han robado cantidades de dinero que sobrepasan el millón de dólares a grandes empresas ecuatorianas.
Mientras hablaba por teléfono con el supuesto empleado del banco, a Diana le llegó otro mensaje de texto que decía que se había registrado un nuevo equipo para ingresar a la banca móvil. El hombre de la línea insistió en que era parte del proceso. “Me envolvió bien bonito”, dice Diana, y por eso le entregó el cuarto código.
Ese fue el que utilizaron para autorizar una transacción de 400 dólares sin tarjeta de uno de los cajeros automáticos del Banco del Pacífico. Este servicio —ofrecido por varias entidades bancarias— permite que las personas retiren dinero sin usar su tarjeta de débito. Para hacerlo, los usuarios deben ingresar su número de cédula, en algunos casos, su correo electrónico, y un código que es enviado a su teléfono celular.
Diana dice que ella no tenía idea de que eso se podía hacer, pero que inmediatamente después le llegó un mensaje que decía que se efectuó una orden de pago. “Ahí comencé a sufrir”, cuenta nerviosa. El hombre al otro lado del teléfono seguía manipulándola. Cuando ella le contó lo que decía el mensaje, él le dijo “no no no, ¿cómo le va a llegar a usted eso?”. Pero Diana ya comenzó a sospechar de que algo no estaba bien.
Hasta ese momento, la llamada le había parecido normal a Diana. La persona que la llamó utilizaba un discurso idéntico al oficial, tenían información de ella y de su cuenta, y le daban indicaciones con seguridad. El abogado Estupiñán dice que al igual que estos delitos aumentan, los esfuerzos del Estado también deberían crecer para combatir esos delitos. Según él, debe aumentar la infraestructura y los instrumentos investigativos, pero especialmente la capacitación a las autoridades y al público en general para identificar estafas. El caso de Diana demuestra que es muy complicado diferenciar las llamadas reales de las falsas.
Las sospechas de Diana aumentaron cuando el hombre le dijo que esa parte de la revisión de seguridad había terminado, pero que debían continuar con otra verificación de su tarjeta de crédito y le pidió más información. Diana lo enfrentó una vez más, pero dice que “él seguía, súper insistente”. Poco después, cuando Diana le hizo varias preguntas, el estafador le colgó, recordándole una vez más su nombre (que ella no recuerda), pero sin darle más explicaciones.
Después de la llamada, Diana consideró no hacer nada, pero dice que después de pensarlo por unos minutos sintió que “recién razonaba” y decidió llamar a la matriz de su banco. Nerviosa, le pidió al asesor que le verifique si estaban haciendo verificaciones de seguridad.
Él le confirmó que la llamada no había salido de la institución financiera y que no estaban revisando códigos. Diana pidió que cancelen todas sus tarjetas y la mayoría de los servicios. Ahora solo puede hacer depósitos de forma presencial, todos los demás servicios están deshabilitados para ella
más del 50% de los casos de ataques a los sistemas y filtraciones son causados por “el enemigo interno”. Es decir, un trabajador o ex trabajador
Entre la conversación del estafador y antes de llamar al banco, Diana intentó entrar a su banca electrónica, pero le decían que su contraseña no era correcta. Pidió recuperarla y, antes de enviarle la nueva a su mail, verificaron su identidad con las preguntas de seguridad que ella había configurado. Diana se dio cuenta de que tenía varios correos que decían que su clave había sido modificada, para eso estaban usando los primeros códigos que le llegaron por SMS y que ella le dictó por teléfono.
Lo que más le sorprende a Diana es la cantidad de información que los estafadores tenían sobre ella. Además de su nombre completo, correo y otros, Diana sospecha que tenían las respuestas a las preguntas de seguridad que ella configuró para el Banco del Pacífico porque así pudieron cambiar la clave de su cuenta en varias ocasiones. El abogado Diego Beltrán, especializado en derecho digital, dice que “hay una estrecha relación” entre la seguridad cibernética y la protección de datos personales porque la mayoría de servicios financieros —y muchos otros públicos y privados— se apalancan en información reservada para validar la identidad de sus clientes. El número de cédula, de celular y hasta las respuestas para las preguntas de seguridad, por nombrar algunos.
Aunque facilitan ciertos procesos, la dependencia de estos datos también añade vulnerabilidades a los sistemas. Beltrán dice que cuando hay una divulgación o filtración de información personal “se vuelve muchísimo más fácil para los criminales cibernéticos subvertir los sistemas y estafar a las personas para acceder a beneficios”. Muchos de estos detalles, dice el abogado, se pueden obtener con una simple búsqueda en internet y ser utilizados con fines delictivos sin que las personas se den cuenta de lo que está pasando.
A Diana le llama la atención que las respuestas de sus preguntas de seguridad no estaban almacenadas de forma digital, pero sí eran datos a los que algunos de los empleados del banco tenían acceso. Por eso ella no descarta que quien la llamó haya sido alguien relacionado a la institución. Beltrán reconoce que es una posibilidad. Según él, más del 50% de los casos de ataques a los sistemas y filtraciones son causados por “el enemigo interno”. Es decir, un trabajador o ex trabajador de una institución que tiene acceso a la información y se aprovecha de ella.
Incluso, podría ser uno de los proveedores del banco quienes manipulan de forma incorrecta la información. En febrero de 2021, el Banco Pichincha, uno de los más grandes del país, confirmó que hubo una filtración de información en los sistemas de uno de sus proveedores. El 14 de septiembre de 2021, la institución le dijo a GK que “no existía en dichos sistemas información para efectuar transacciones y, por tanto, la seguridad de los recursos financieros de nuestros clientes no se ha visto comprometida en ningún momento”. En julio, la empresa negó haber sufrido otro ataque cibernético como decían publicaciones en redes sociales.
Sin embargo, algunos creen que sí ha puesto en riesgo la información de sus usuarios. Seis meses después de que le robaron a Carmen, su abogado comenzó a manejar otro caso similar.
A Jorge*, un empresario camaronero de Guayaquil, entre el 12 y el 13 de julio le sacaron 15 mil dólares de su cuenta del Banco del Pichincha. Su abogado dice que cree que sí tiene relación el robo con la filtración de datos porque ha visto otros casos similares con la misma entidad.
Además, para robar a Jorge utilizaron un modus operandi muy similar al que usaron con Carmen: se metieron a su cuenta bancaria —usando información que él no había proporcionado— e hicieron varias transacciones por entre 1.800 y 1.900 dólares sin su consentimiento. Su abogado dice que aquí los criminales aplicaron un nivel de sofisticación mayor porque bloquearon el celular de Jorge en varias ocasiones para que él no note que le estaban llegando los mensajes con las contraseñas y alertas.
Días antes del robo, él se dio cuenta que su celular tenía algún problema y lo llevó a su operadora para que lo revisen, lo desbloquearon y volvió a funcionar. Jorge no sabía qué estaba pasando hasta que el 13 de julio se percató de que su dinero había desaparecido y alertó a su abogado y las autoridades de la institución financiera.
Lo que más le sorprende a Diana es la cantidad de información que los estafadores tenían sobre ella.
Entre la conversación del estafador y antes de llamar al banco, Diana intentó entrar a su banca electrónica, pero le decían que su contraseña no era correcta. Pidió recuperarla y, antes de enviarle la nueva a su mail, verificaron su identidad con las preguntas de seguridad que ella había configurado. Diana se dio cuenta de que tenía varios correos que decían que su clave había sido modificada, para eso estaban usando los primeros códigos que le llegaron por SMS y que ella le dictó por teléfono.
Lo que más le sorprende a Diana es la cantidad de información que los estafadores tenían sobre ella. Además de su nombre completo, correo y otros, Diana sospecha que tenían las respuestas a las preguntas de seguridad que ella configuró para el Banco del Pacífico porque así pudieron cambiar la clave de su cuenta en varias ocasiones. El abogado Diego Beltrán, especializado en derecho digital, dice que “hay una estrecha relación” entre la seguridad cibernética y la protección de datos personales porque la mayoría de servicios financieros —y muchos otros públicos y privados— se apalancan en información reservada para validar la identidad de sus clientes. El número de cédula, de celular y hasta las respuestas para las preguntas de seguridad, por nombrar algunos.
Aunque facilitan ciertos procesos, la dependencia de estos datos también añade vulnerabilidades a los sistemas. Beltrán dice que cuando hay una divulgación o filtración de información personal “se vuelve muchísimo más fácil para los criminales cibernéticos subvertir los sistemas y estafar a las personas para acceder a beneficios”. Muchos de estos detalles, dice el abogado, se pueden obtener con una simple búsqueda en internet y ser utilizados con fines delictivos sin que las personas se den cuenta de lo que está pasando.
A Diana le llama la atención que las respuestas de sus preguntas de seguridad no estaban almacenadas de forma digital, pero sí eran datos a los que algunos de los empleados del banco tenían acceso. Por eso ella no descarta que quien la llamó haya sido alguien relacionado a la institución. Beltrán reconoce que es una posibilidad. Según él, más del 50% de los casos de ataques a los sistemas y filtraciones son causados por “el enemigo interno”. Es decir, un trabajador o ex trabajador de una institución que tiene acceso a la información y se aprovecha de ella.
Incluso, podría ser uno de los proveedores del banco quienes manipulan de forma incorrecta la información. En febrero de 2021, el Banco Pichincha, uno de los más grandes del país, confirmó que hubo una filtración de información en los sistemas de uno de sus proveedores. El 14 de septiembre de 2021, la institución le dijo a GK que “no existía en dichos sistemas información para efectuar transacciones y, por tanto, la seguridad de los recursos financieros de nuestros clientes no se ha visto comprometida en ningún momento”. En julio, la empresa negó haber sufrido otro ataque cibernético como decían publicaciones en redes sociales.
Sin embargo, algunos creen que sí ha puesto en riesgo la información de sus usuarios. Seis meses después de que le robaron a Carmen, su abogado comenzó a manejar otro caso similar.
A Jorge*, un empresario camaronero de Guayaquil, entre el 12 y el 13 de julio le sacaron 15 mil dólares de su cuenta del Banco del Pichincha. Su abogado dice que cree que sí tiene relación el robo con la filtración de datos porque ha visto otros casos similares con la misma entidad.
Además, para robar a Jorge utilizaron un modus operandi muy similar al que usaron con Carmen: se metieron a su cuenta bancaria —usando información que él no había proporcionado— e hicieron varias transacciones por entre 1.800 y 1.900 dólares sin su consentimiento. Su abogado dice que aquí los criminales aplicaron un nivel de sofisticación mayor porque bloquearon el celular de Jorge en varias ocasiones para que él no note que le estaban llegando los mensajes con las contraseñas y alertas.
Días antes del robo, él se dio cuenta que su celular tenía algún problema y lo llevó a su operadora para que lo revisen, lo desbloquearon y volvió a funcionar. Jorge no sabía qué estaba pasando hasta que el 13 de julio se percató de que su dinero había desaparecido y alertó a su abogado y las autoridades de la institución financiera.
Días antes del robo, él se dio cuenta que su celular tenía algún problema y lo llevó a su operadora para que lo revisen, lo desbloquearon y volvió a funcionar.
Autor / Redactor / Director
