En la mayoría de bancos ahora se puede retirar dinero de sus cajeros automáticos sin necesidad de usar la tarjeta. En la pantalla de los cajeros se muestra una opción que dice “retiro sin tarjeta”, al seleccionar la opción los usuarios deben ingresar su número de cédula, en algunos casos, su correo electrónico, y un código que es enviado a su teléfono celular. La opción es promovida en los sitios web de los bancos en el país como una forma de “facilitar la vida” de las personas, pero los delincuentes se están aprovechando de esta opción para estafar a los ciudadanos y robarles su dinero. 

¿Cómo funciona esta nueva modalidad de robo?

Todo empieza con un mensaje de texto (SMS) que llega al celular de la víctima. “Banco X informa que a las X horas realizó un consumo con su tarjeta de X cantidad de dólares en X lugar. Si usted no realizó este consumo, comuníquese con X número”. El mensaje es una copia exacta de los mensajes que recibimos del banco cuando hacemos un consumo. Pero no es un mensaje del banco sino de un ladrón.

La víctima del engaño, hace lo que se suele hacer cuando llegan mensajes de consumos no autorizados: devuelve la llamada a ese que, según el mensaje, es el teléfono de contacto del banco. Hasta ese momento, la víctima no se ha dado cuenta que ni el mensaje ni el teléfono de contacto pertenecen al banco. Llama entonces al número de teléfono que está en el mensaje, una persona al otro lado de la línea contesta y se hace pasar por personal de servicio al cliente del banco. El discurso que tiene es aprendido del discurso de la entidad bancaria.

La persona que va a engañar a la víctima tiene gran cantidad de los datos personales del cliente: nombres completos, número de cédula, correo electrónico, y hasta la dirección de su domicilio. Eso hace que sea difícil de identificar que no se trata del banco porque el supuesto empleado del banco no solicita ningún dato sospechoso. Finge, durante algunos minutos, que está verificando los datos, repite que el consumo hecho con la tarjeta de crédito es de tal monto y en tal entidad y dice que, por seguridad del cliente, hay que bloquear la tarjeta de crédito.

La víctima del engaño, hasta ese momento, está preocupada por el supuesto consumo no autorizado que se hizo con su tarjeta de crédito y no sospecha que ese consumo no existió nunca. El mensaje fue enviado como una trampa para el verdadero robo que está a punto de ocurrir. 

PUBLICIDAD

Tras pasar por la supuesta etapa de verificación de datos, el supuesto funcionario del banco (que en realidad es un ladrón), confirma que la tarjeta está bloqueada y advierte que se enviará una nueva tarjeta de crédito a la dirección registrada. “La dirección para el recibo de su nueva tarjeta es tal”, dice con una voz impostada, similar a las de quienes atienden en los call centers de los bancos. La dirección que entrega es, por supuesto, la de la casa de la víctima, dato que probablemente fue obtenido de una base de datos robada

Noticias Más Recientes

Una vez pasada la etapa de supuesta verificación de datos, el supuesto empleado del banco dice  que se ingresará al banco un reclamo por el supuesto consumo, se investigará el caso y se devolverá el dinero, en caso de confirmar que la transacción no fue hecha por el cliente. De nuevo, un proceso común en las entidades bancarias cuando, en efecto, algo así ocurre.

El discurso del supuesto empleado, hasta ese momento, es copiado del proceso real en un banco cuando se quiere bloquear una tarjeta por un consumo no autorizado. Nada del proceso levanta la alerta de la víctima que, después de confirmar la dirección a la que quiere recibir su nueva tarjeta, da luz verde al último eslabón del robo, cuando el supuesto empleado del banco le dice al cliente que para completar el proceso, le va a llegar un código a su celular. Le dice que ese es un código de seguridad que permite confirmar el bloqueo de la tarjeta. En efecto, la persona recibe un código y se lo da sin sospechar que ese es el código que permitirá al ladrón retirar dinero desde el cajero sin necesidad de tener la tarjeta de la víctima. 

Los otros datos para hacer la transacción — el correo electrónico, el número de teléfono y el número de cédula— ya estaba en manos del ladrón. El único dato que le falta es el código que la víctima, sin sospechar, le entrega, es el que le permite robar el dinero de la víctima. 

Hasta el final de la transacción la víctima no se da cuenta pues el supuesto funcionario se despide con el mismo discurso que hacen en los bancos —incluso pidiendo que califique el servicio que le ha brindado— y se termina la comunicación. 

Minutos después, la persona recibe otro mensaje, esta vez sí es un mensaje del banco, que dice que ha retirado con éxito X cantidad de dinero de su cuenta. En ese momento, se da cuenta que ha sido estafada. La transacción, por lo general, es del monto máximo permitido a retirar del cajero —que varía entre los 200 y 500 dólares, dependiendo del banco. 

¿Cuál es el problema?

Uno de los principales problemas es la filtración de datos personales y la falta de garantías de protección. En Ecuador, en los últimos dos años han habido al menos cinco casos de filtración de datos.

En 2019, por fallas en los sistemas de seguridad de la empresa Novaestrat, se filtraron datos de millones de ecuatorianos como: nombres, fecha de nacimiento, direcciones, emails, teléfonos, y hasta información financiera —datos suficientes para que se puedan hacer este tipo de robos. Ese mismo año, la compañía de seguros Liberty expuso información personal de personas que no eran sus usuarios. 

PUBLICIDAD

En febrero de este año, se filtró una base de datos del Banco Pichincha por un error en los sistemas de uno de sus proveedores. En julio, en cambio, la Compañía Nacional de Telecomunicaciones (CNT) sufrió un ataque informático, en el que supuestamente se logró proteger la información de los clientes. Y ese mismo mes, se filtró una base de datos del Ministerio de Salud Pública en la que constaban los datos de las personas que se habían hecho pruebas de covid-19 en el país.

Los bancos no son una excepción, en agosto de 2019, la superintendenta de Bancos en ese entonces, Ruth Arregui, dijo que el sistema bancario ecuatoriano era blanco constante de ataques informáticos. Además, los usuarios tienden a ser víctimas de phishing, una clase de crimen digital en el que un delincuente se hace pasar por personas o empresas de confianza para conseguir contraseñas y otra información confidencial para robar dinero, como ocurre con esta nueva modalidad.

Las seguridades en los bancos

La Asociación de Bancos Privados del Ecuador (Asobanca) dice que algunas de las medidas de seguridad electrónica que ha tomado la banca privada son:

  • los teclados virtuales
  • las claves dinámicas
  • los controles en los cajeros automáticos
  • las tarjetas con chip
  • los códigos de seguridad únicos
  • las tarjetas con coordenadas
  • otros servicios y software de seguridad especial

Pero estas medidas no son suficientes. Ecuador es el quinto país en América Latina con más ataques de phishing, según datos de  Kaspersky Lab, de febrero de 2020. Además, según un estudio de la Organización de Estados Americanos (OEA) sobre el estado de la ciberseguridad en el sector bancario en América Latina y el Caribe, dice que los usuarios de los bancos de la región son susceptibles a ataques cibernéticos a diario porque no hay suficiente seguridad digital. El estudio dice que hay un déficit de personal con experiencia en seguridad digital en más de la mitad de los bancos en América Latina y el Caribe. 

Alfredo Velazco, de la organización Usuarios Digitales, encargada de promover la defensa de los derechos de los usuarios en las plataformas digitales, dijo que “definitivamente cada institución es custodia de nuestros datos” y responsable de ellos. Los expertos aseguran que la seguridad de los datos personales es un asunto extremadamente sensible al que no se le está prestando suficiente atención en Ecuador.

¿Qué podemos hacer para reducir el riesgo de este tipo de robos?

Aunque la custodia de los datos y la seguridad bancaria le corresponde a varias entidades, los usuarios pueden tomar algunas medidas para reducir el riesgo de que esto les ocurra.

  • Verificar que cuando les llegue un mensaje sea realmente del banco. Los números de teléfono desde los que se hace este tipo de estafas son celulares, mientras que los SMS de los bancos llegan siempre del mismo número, usualmente una troncal, no de un celular.
  • Tener registrado en el celular el número telefónico de la troncal del banco, de tal modo que si recibe un mensaje, llame directamente desde el contacto que tiene registrado y no al número que el SMS indica. Así aumenta la certeza de que, en efecto, está comunicándose con su banco.
  • Jamás entregar códigos. En otras modalidades, de las que eran víctimas sobre todo personas de la tercera edad, se solicitaban usuarios y claves, sin embargo en esta, únicamente se solicita un código. Nunca lo entregue y si se lo piden, cuelgue inmediatamente y llame al número de contacto registrado en el banco.
  • Estar alerta sobre estas modalidades de robo y compartir esta información con sus amigos y familiares.