A principios de septiembre de 2021, Diana* recibió una llamada del Banco del Pacífico, en el que tiene una cuenta que casi no usa. Le dijeron que estaban haciendo un chequeo de seguridad y que ella debía confirmar información y entregarles algunos códigos. Desde el discurso hasta las preguntas que le hicieron, todo parecía ser un procedimiento estándar, pero para el final de la llamada, Diana tenía 400 dólares menos en su cuenta. 

A Diana no le llamó la atención lo que le decía la persona que la llamaba porque utilizaba frases que utilizaría cualquier institución financiera. Usaron su nombre completo, le dijeron que la llamada estaba siendo grabada, que no debía darle el número de cuenta ni entregarle su contraseña. “Por esa parte a mí ya me envolvió, como que me dio seguridad”, dice Diana. Le dijeron que solo le pedirían varios códigos que serían parte del procedimiento de verificación. Diana dice que aceptó porque la explicación le pareció razonable. “Estaba súper bien aprendido el discurso, tal cual cuando los bancos llaman”, dice. Por eso aceptó hacerlo. 

Las estafas y los robos como el que le hicieron a Diana pasan a diario. El abogado Francisco Estupiñán, que ha trabajado casos de fraude por 15 años, dice que se calcula que en todo el mundo, la pérdida por este tipo de fraudes asciende a 7 mil millones de dólares —más de 23 veces lo que Ecuador ha invertido en vacunas contra el covid-19. “Los delitos informáticos ya son cotidianos”, dice Estupiñán. Según él, aproximadamente el 90% de personas que tienen un correo electrónico han recibido mensajes con amenazas de fraude —aunque cree que podría ser un porcentaje incluso mayor. Con el incremento de los casos, también aumenta el nivel de sofisticación y los métodos usados para los engaños. 

A Carmen* también le robaron dinero de su cuenta del Banco del Pacífico, pero usaron otro método para hacerlo. Ella estaba ahorrando dinero para comprarse un carro y tenía más de 8 mil dólares para ese propósito. En enero de 2021, revisó su cuenta bancaria —algo que la mujer guayaquileña de más de 60 años hacía con frecuencia— y sorprendida notó que más de 7 mil dólares ya no estaban ahí. 

El abogado que manejó el caso, que pidió mantener su identidad en reserva, dice que se dieron cuenta de que alguien entró a la cuenta de Carmen —todavía no saben cómo— e hizo varias transferencias a terceros hasta que la despojaron de la mayoría del dinero que tenía ahorrado. Intenté contactarme con el Banco del Pacífico para consultarle sobre los casos de estafas a sus clientes, pero hasta el cierre de este reportaje no tuve respuesta.

§

El hombre que llamó a Diana le dijo que iba a ingresar al sistema y que le llegaría un código para revisar varios “filtros de seguridad”. Diana recuerda que en el fondo de la llamada se escuchaba como la otra persona digitaba. Le llegó un mensaje de texto que decía que el Banco del Pacífico le informaba que se generó la clave transaccional y adjuntaba un código. “Como yo no estaba dando mi clave, ni mi usuario, no dudé y le di el código”, dice. Hasta ese momento, nada le parecía fuera de lugar.

Después de que le entregó el primer código, el hombre le dijo que seguirían con el siguiente filtro de seguridad. “Comenzó con otro discurso y creo que me perdí”, dice. Le llegaron dos códigos más y se los dio. Con el teléfono en la oreja y todavía en la llamada, Diana intentó ingresar a su banca electrónica, pero no pudo. “Me dijeron que no podía hacerlo porque estaban haciendo lo de los filtros”, dice. Este tipo de delitos se conocen como vishing. El término se utiliza para identificar cualquier ataque a través de llamadas telefónicas o mensajes de voz en el que se engaña a las víctimas y se les roba información sensible. Un delito muy similar —y que puede ir de la mano— es el smishing, en el que el engaño se hace a través de mensajes de texto. 

El vishing y el smishing son similares al phising, un ataque informático que se hace haciendo una suplantación de identidades a través de correos electrónicos. Este tipo de estafas son el delito cibernético más reportado en todo el planeta. El objetivo es engañar a las personas para obtener datos confidenciales como contraseñas e información bancaria. Según el abogado Estupiñán, hay casos de phishing en los que se han robado cantidades de dinero que sobrepasan el millón de dólares a grandes empresas ecuatorianas. 

Mientras hablaba por teléfono con el supuesto empleado del banco, a Diana le llegó otro mensaje de texto que decía que se había registrado un nuevo equipo para ingresar a la banca móvil. El hombre de la línea insistió en que era parte del proceso. “Me envolvió bien bonito”, dice Diana, y por eso le entregó el cuarto código. 

Ese fue el que utilizaron para autorizar una transacción de 400 dólares sin tarjeta de uno de los cajeros automáticos del Banco del Pacífico. Este servicio —ofrecido por varias entidades bancarias— permite que las personas retiren dinero sin usar su tarjeta de débito. Para hacerlo, los usuarios deben ingresar su número de cédula, en algunos casos, su correo electrónico, y un código que es enviado a su teléfono celular. 

Diana dice que ella no tenía idea de que eso se podía hacer, pero que inmediatamente después le llegó un mensaje que decía que se efectuó una orden de pago. “Ahí comencé a sufrir”, cuenta nerviosa. El hombre al otro lado del teléfono seguía manipulándola. Cuando ella le contó lo que decía el mensaje, él le dijo “no no no, ¿cómo le va a llegar a usted eso?”. Pero Diana ya comenzó a sospechar de que algo no estaba bien. 

Hasta ese momento, la llamada le había parecido normal a Diana. La persona que la llamó utilizaba un discurso idéntico al oficial, tenían información de ella y de su cuenta, y le daban indicaciones con seguridad. El abogado Estupiñán dice que al igual que estos delitos aumentan, los esfuerzos del Estado también deberían crecer para combatir esos delitos. Según él, debe aumentar la infraestructura y los instrumentos investigativos, pero especialmente la capacitación a las autoridades y al público en general para identificar estafas. El caso de Diana demuestra que es muy complicado diferenciar las llamadas reales de las falsas. 

Las sospechas de Diana aumentaron cuando el hombre le dijo que esa parte de la revisión de seguridad había terminado, pero que debían continuar con otra verificación de su tarjeta de crédito y le pidió más información. Diana lo enfrentó una vez más, pero dice que “él seguía, súper insistente”. Poco después, cuando Diana le hizo varias preguntas, el estafador le colgó, recordándole una vez más su nombre (que ella no recuerda), pero sin darle más explicaciones. 

Después de la llamada, Diana consideró no hacer nada, pero dice que después de pensarlo por unos minutos sintió que “recién razonaba” y decidió llamar a la matriz de su banco. Nerviosa, le pidió al asesor que le verifique si estaban haciendo verificaciones de seguridad. 

Él le confirmó que la llamada no había salido de la institución financiera y que no estaban revisando códigos. Diana pidió que cancelen todas sus tarjetas y la mayoría de los servicios. Ahora solo puede hacer depósitos de forma presencial, todos los demás servicios están deshabilitados para ella 

§

Entre la conversación del estafador y antes de llamar al banco, Diana intentó entrar a su banca electrónica, pero le decían que su contraseña no era correcta. Pidió recuperarla y, antes de enviarle la nueva a su mail, verificaron su identidad con las preguntas de seguridad que ella había configurado. Diana se dio cuenta de que tenía varios correos que decían que su clave había sido modificada, para eso estaban usando los primeros códigos que le llegaron por SMS y que ella le dictó por teléfono. 

Lo que más le sorprende a Diana es la cantidad de información que los estafadores tenían sobre ella. Además de su nombre completo, correo y otros, Diana sospecha que tenían las respuestas a las preguntas de seguridad que ella configuró para el Banco del Pacífico porque así pudieron cambiar la clave de su cuenta en varias ocasiones. El abogado Diego Beltrán, especializado en derecho digital, dice que “hay una estrecha relación” entre la seguridad cibernética y la protección de datos personales porque la mayoría de servicios financieros —y muchos otros públicos y privados— se apalancan en información reservada para validar la identidad de sus clientes. El número de cédula, de celular y hasta las respuestas para las preguntas de seguridad, por nombrar algunos. 

Aunque facilitan ciertos procesos, la dependencia de estos datos también añade vulnerabilidades a los sistemas. Beltrán dice que cuando hay una divulgación o filtración de información personal “se vuelve muchísimo más fácil para los criminales cibernéticos subvertir los sistemas y estafar a las personas para acceder a beneficios”. Muchos de estos detalles, dice el abogado, se pueden obtener con una simple búsqueda en internet y ser utilizados con fines delictivos sin que las personas se den cuenta de lo que está pasando. 

A Diana le llama la atención que las respuestas de sus preguntas de seguridad no estaban almacenadas de forma digital, pero sí eran datos a los que algunos de los empleados del banco tenían acceso. Por eso ella no descarta que quien la llamó haya sido alguien relacionado a la institución. Beltrán reconoce que es una posibilidad. Según él, más del 50% de los casos de ataques a los sistemas y filtraciones son causados por “el enemigo interno”. Es decir, un trabajador o ex trabajador de una institución que tiene acceso a la información y se aprovecha de ella. 

Incluso, podría ser uno de los proveedores del banco quienes manipulan de forma incorrecta la información. En febrero de 2021, el Banco Pichincha, uno de los más grandes del país, confirmó que hubo una filtración de información en los sistemas de uno de sus proveedores. El 14 de septiembre de 2021, la institución le dijo a GK que “no existía en dichos sistemas información para efectuar transacciones y, por tanto, la seguridad de los recursos financieros de nuestros clientes no se ha visto comprometida en ningún momento”. En julio, la empresa negó haber sufrido otro ataque cibernético como decían publicaciones en redes sociales. 

Sin embargo, algunos creen que sí ha puesto en riesgo la información de sus usuarios. Seis meses después de que le robaron a Carmen, su abogado comenzó a manejar otro caso similar. 

A Jorge*, un empresario camaronero de Guayaquil, entre el 12 y el 13 de julio le sacaron 15 mil dólares de su cuenta del Banco del Pichincha. Su abogado dice que cree que sí tiene relación el robo con la filtración de datos porque ha visto otros casos similares con la misma entidad. 

Además, para robar a Jorge utilizaron un modus operandi muy similar al que usaron con Carmen: se metieron a su cuenta bancaria —usando información que él no había proporcionado— e hicieron varias transacciones por entre 1.800 y 1.900 dólares sin su consentimiento. Su abogado dice que aquí los criminales aplicaron un nivel de sofisticación mayor porque bloquearon el celular de Jorge en varias ocasiones para que él no note que le estaban llegando los mensajes con las contraseñas y alertas. 

Días antes del robo, él se dio cuenta que su celular tenía algún problema y lo llevó a su operadora para que lo revisen, lo desbloquearon y volvió a funcionar. Jorge no sabía qué estaba pasando hasta que el 13 de julio se percató de que su dinero había desaparecido y alertó a su abogado y las autoridades de la institución financiera. 

§

En un mundo en el que la información personal es tan vulnerable, la gente debe estar pendiente de la inseguridad a la que está expuesta. El abogado Beltrán dice que hay cierto grado de corresponsabilidad entre los bancos, los proveedores de servicios, sus clientes y el Estado. Según él, es necesario que todos estos sectores hagan su parte para evitar las estafas y los robos. 

Para conseguir este objetivo, dice el abogado Beltrán, las empresas que son los responsables del tratamiento de los datos deben ser más cuidadosos con la información que les han confiado y garantizar la seguridad de sus sistemas. Esa protección debe extenderse en caso de que se la encarguen a terceros. Según Beltrán, también es responsabilidad de las personas, como titular de la información, no manejar “con absoluta relajación” todo lo que está relacionado al entorno digital. 

La principal advertencia es cuidar las contraseñas, no entregarlas por ningún motivo y cambiarlas constantemente. Especialmente, dice Diego Beltrán, después de saber que hubo una filtración o fraude. Después del robo, Diana hizo el trámite para cambiar la cuenta de correo electrónico asociada a su cuenta. 

Noticias Más Recientes

Además, la Asociación de Bancos Privados del Ecuador (Asobanca) dice que otras de las medidas de seguridad más importantes son usar equipos confiables, no responder a correos electrónicos en los que pidan información personal, verificar que las direcciones de correo y los sitios web sean los correctos (una letra puede hacer la diferencia entre lo real y la estafa), e informar inmediatamente a la institución bancaria sobre cualquier irregularidad.  

El Estado también puede contribuir a reducir este tipo de infracciones. Según Beltrán, las autoridades pueden ejercer un control más eficaz para evitar que lleguen las llamadas no solicitadas de los bancos, de las que los estafadores están tomando el guión para confundir a las víctimas. 

También dicen que podrían cesar los múltiples correos electrónicos que son ignorados por los usuarios. Diana dice que ella envía todas las comunicaciones sobre su cuenta a la bandeja de no deseados porque “le fastidia tanta propaganda”. Por eso no vio los correos que le alertaban que su clave estaba siendo cambiada mientras ella hablaba con el estafador. 

Dice que ahora los volvió a poner en la bandeja principal porque al verlos se hubiera dado cuenta de lo que le estaban haciendo. No podemos aislarnos del mundo digital, por eso es necesario aprender a tomar las precauciones necesarias para asegurar que naveguemos de forma segura en él. 

§

Otra de las formas en las que las personas pueden contribuir para evitar los ataques financieros es denunciarlos casos cuando son víctimas. Hay varios mecanismos para reclamar cuando suceden robos de este tipo. El primero es a nivel interno del banco, de forma administrativa ante la Superintendencia de Bancos y con una denuncia en la Fiscalía. Entre 2019 y 2021 en Ecuador hubo más de 51 mil denuncias por todo tipo de estafas, según la institución. 

Ese total incluye centenares de denuncias de fraude con tarjetas de crédito, débito y otros dispositivos electrónicos. Sin embargo, el abogado Beltrán dice que la judicialización de estos delitos es mínima porque las denuncias no se presentan o las víctimas deciden no continuar con el proceso.

Diana dice que todavía no ha puesto una denuncia en la Fiscalía. Uno de sus motivos es que no le entendió bien a la persona que atendió su reclamo. “Creo que ella no sabía mucho del proceso, pero me dijo que sí, que la denuncia se presenta con el banco”, dice. Además, tuvo una emergencia familiar que le impidió continuar con el trámite, pero planea ir en los próximos días para que le expliquen bien cómo es el procedimiento para presentar la denuncia y poder llevar su caso ante la justicia. Espera tener apoyo de la institución “porque es un trámite engorroso”. Diana ya sabe que no le van a devolver los 400 dólares que le robaron. Dice que el argumento del Banco del Pacífico para no hacer la devolución es que ella dio los códigos y que con eso “di paso al robo”. 

A Jorge tampoco le va a devolver su dinero el Banco Pichincha. En la respuesta a su reclamo, la institución le dice que para acceder a su banca web y sus servicios es necesario tener un nombre de usuario, contraseñas, claves y códigos cuya custodia es “responsabilidad exclusiva del cliente”. Por eso, dice el documento, no pueden reembolsarle el dinero que fue extraído de su cuenta cuando ingresó una persona no autorizada. “Básicamente te dicen ‘es culpa tuya y no te voy a devolver”, dice su abogado. El Banco Pichincha me dijo que analizan cada reclamo “de manera individual e independiente siguiendo los protocolos establecidos” y que la resolución que tomen se basará “en una exhaustiva investigación de lo ocurrido”.

Al acudir a la justicia también surgen dudas. El abogado Estupiñán dice que las investigaciones judiciales por este delito son largas y costosas. Según él, eso hace que las personas se pregunten si “realmente vale la pena el desgaste emocional y financiero para recuperar el dinero perdido”. Al poner sus motivos en una balanza, muchos deciden no continuar. Por eso la gran mayoría de las más de 51 mil denuncias que la Fiscalía tiene registradas, no han pasado de la investigación previa desde hace dos años. 

Las consecuencias de los robos son grandes y duraderas. No todos tienen la misma suerte que Carmen, a quien le devolvieron el dinero en apenas un mes. Ante la negativa del banco de devolverle a Jorge el dinero que le sustrajeron de su cuenta con transferencias no autorizadas, él decidió buscar otro lugar para almacenar su dinero. Sacó importantes sumas de dinero de otras tres cuentas que tenía en el mismo banco —suyas y de la empresa en la que trabaja— y las depositó en otras instituciones. Diana, en cambio, está nerviosa y dice que está “sumamente asustada porque de dónde sacaron esa información” de una cuenta que casi no usaba. Semanas después, todavía no encuentra una explicación. 

* Nombres protegidos