Hermetismo institucional frente a problemas de seguridad en tarjetas de débito

Por Wálter Vásquez para Guardiana (Bolivia)

Jueves 28 de noviembre de 2024.- La madrugada del 2 de febrero de este año, mientras Lucía dormía, le descontaron 1.800 bolivianos de su cuenta bancaria debido a dos “consumos no reconocidos”. Ella no se percató de esas transacciones hasta las 10:20, cuando no pudo pagar por un servicio con su tarjeta de débito. Su saldo era insuficiente.

Ese 2 de febrero también empezó el calvario de idas y vueltas de Lucía, de reclamos y de respuestas del Banco Mercantil Santa Cruz (BMSC), que tres meses después resultaron en el reconocimiento de “transacciones no reconocidas” por parte de ese banco, ya que su caso no fue el único.

La respuesta oficial de lo que pasó aún no se conoce, pero testimonios de los afectados, datos y análisis de profesionales permiten concluir que la seguridad de los datos de un grupo de clientes del banco se vio comprometida. Y lo sucedido también permitió identificar debilidades de diferente tipo en el seguimiento y manejo de estas contingencias.

La adecuada, oportuna y completa atención de esta clase de problemáticas es hoy imprescindible en un contexto de mayor uso de tarjetas electrónicas y de avance vertiginoso de la tecnología. Los ciberdelincuentes, por su lado, no se quedan atrás y van adquiriendo más conocimientos y destrezas para cometer delitos.

Desde que comenzaron a operar con chips de seguridad, el número de tarjetas de débito aumentó en Bolivia de 2,34 millones en 2014 a 6,4 millones el año pasado. Las razones, la mayor cantidad de establecimientos y comercios que aceptan pagos a través de estas herramientas, la implementación de la tecnología contactless y de los dispositivos POS, y el creciente dinamismo del comercio electrónico, según un informe del Banco Central de Bolivia (BCB). 

En 2022, el 17% de los usuarios utilizaron estas herramientas para compras por internet, un porcentaje que va creciendo con el paso del tiempo, de acuerdo con encuestas de la Autoridad de Supervisión del Sistema Financiero (ASFI).

¿Una brecha de seguridad?

“Podríamos estar viendo una brecha de seguridad dentro de la entidad bancaria o más”, apuntó Nicole Sánchez, coordinadora de Protección de Datos de la Fundación Internet Bolivia.

El 5 y 8 de noviembre, respectivamente, Guardiana solicitó a la ASFI y al Mercantil Santa Cruz conocer las causas de lo que les ocurrió a clientes de ese banco en al menos cuatro departamentos del país, pero ni la entidad supervisora ni la empresa atendieron este requerimiento.

PAGOS A CUENTAS EXTRANJERAS

Los dos débitos no reconocidos por un valor de 1.800 bolivianos del 2 de febrero no fueron los únicos que alarmaron a Lucía (nombre cambiado por solicitud de la víctima). Tras una primera revisión a sus extractos de cuenta, ella identificó con sorpresa 48 pagos no reconocidos por un total de 6.734,38 bolivianos.

Estos desembolsos irregulares con su tarjeta de débito fueron realizados a sitios que ofrecen servicios premium como ChatGPT, Telegram y YouTube, pagos que hasta entonces no habían sido notados porque se trataba de montos menores y porque ella no revisaba sus extractos mensuales. Lo mismo sucedió, en general, con los otros afectados, que también reportaron débitos a cuentas extranjeras como Google, Uber y TikTok. 

A continuación, el detalle de transacciones no reconocidas de otro de los afectados:

Juan Fernando Rocabado, abogado de Lucía, contó que el mismo 2 de febrero presentaron un primer reclamo ante el Mercantil Santa Cruz. Sin embargo, pese a que la tarjeta de su cliente estaba asegurada y “cubría fraudes de compras por internet”, la respuesta que recibieron no fue la esperada.

Lo mismo pasó con la ampliación de reclamo que presentó el abogado el 9 de febrero, con el segundo reclamo del 15 de marzo y con el recurso ante la ASFI registrado el 22 de marzo.

En ese interín y ya con dos rechazos del banco a su primer reclamo, el abogado Rocabado buscó en redes sociales a personas que hubiesen sufrido también este tipo de débitos, para hacer causa común y adjuntar esta información al recurso que luego presentó ante la entidad reguladora.

Así se constituyó rápidamente el grupo de WhatsApp de Santa Cruz –el más numeroso (1.000 personas)–, en el que varios miembros llegaron a organizar una protesta ante la agencia del banco en el mall Las Brisas, en la capital cruceña. La movilización, efectuada el 29 de abril, hizo público el problema y llamó la atención de algunos medios. 

Esa misma fecha y mientras se organizaba una segunda protesta, esta vez en Cochabamba, el Mercantil reconoció “inconvenientes… causados por ciertas transacciones no reconocidas en plataformas digitales en el exterior” e informó que estaba atendiendo cada reclamo para proceder a la devolución “si correspondiera” a la brevedad posible. “Estos son eventos inusuales ajenos al banco, que están siendo atendidos con máxima prioridad”, aclaró. 

Esta respuesta difiere de la que ofreció dicho banco como respuesta al primer reclamo de Lucía (la carta completa se la puede ver más abajo):

• “…para evitar ser víctimas de transacciones fraudulentas, no deseadas o phishing, se pusieron anuncios preventivos en nuestra página web y redes sociales, exhortando a los clientes a tomar los recaudos necesarios que eviten ese tipo de eventos (…). Es importante mencionar que la diferencia de las transacciones no reconocidas…están siendo gestionadas a través de la compañía aseguradora. Al respecto, debemos aclarar que la responsabilidad de nuestra entidad se limita en, una vez recibida su comunicación, transmitir dicha información junto con la documentación de respaldo a la aseguradora…” (BMSC, 22 de marzo).
• 

El banco se refirió al phishing como una posibilidad. En el siguiente cuadro Guardiana te explica cuáles son algunas de las formas de robo:

No se conoce que la misma ASFI haya mencionado algún incidente con el banco. No se pudo tener acceso a información de primera mano dada por la ASFI a este medio. Sólo se conoce su recomendación a la población para tomar medidas adicionales de seguridad para protegerse contra “retiros fantasma” u otros fraudes cibernéticos, según una nota publicada el 3 de mayo en el portal de RTP.

En sus respuestas, tanto el banco como la entidad supervisora dijeron que “el usuario tiene la culpa y no es así”, subrayó Hugo Miranda, oficial de Economía Digital de la Fundación Internet Bolivia, quien el 31 de marzo fue también víctima de los débitos no reconocidos.

El cambio de actitud del Mercantil fue más notorio el 3 de mayo, cuando en un segundo comunicado informó que se continuaba efectuando la devolución de “consumos no reconocidos” a través de compras por internet en plataformas digitales del exterior y que adoptó “medidas adicionales” para evitar ese tipo de hechos. 

“Al devolver el Mercantil el dinero (proceso que comenzó el 3 de mayo), reconoció que el problema no fue del usuario, sino que ha sido del banco o de la Red Enlace”, subrayó Miranda. 

Pero, si hubo un problema con las tarjetas, ¿cómo es la seguridad de esos instrumentos de pago y qué es lo que pudo pasar para que hayan sido vulnerada? Un experto en tarjetas electrónicas del sistema financiero, que pidió la reserva de su nombre, dio una explicación. 

La puerta que pudieron aprovechar los hackers

Las tarjetas electrónicas no se fabrican en Bolivia, se importan “en blanco” desde Colombia o Argentina y es en Bolivia donde se les introduce la información necesaria para que funcionen (códigos de seguridad y más) y se las vincula a la cuenta o cuentas del cliente. 

Este proceso, llamado embozo o personalización, está a cargo de las Empresas Administradoras de Tarjetas Electrónicas (EATE), ya sea Red Enlace o Linkser. Incluye el colocado en el chip de la tarjeta de las llaves virtuales (encriptación), que comparten la EATE y el banco, y que sirven para validar una operación. 

Para usarlas en compras por internet, por lo regular, los usuarios deben habilitar sus tarjetas de débito, un trámite que hace con su banco y que puede ser presencial o virtual. Sin embargo, antes de mayo de este año, las tarjetas del Banco Mercantil Santa Cruz estaban prehabilitadas para compras por internet, es decir, habilitadas sin necesidad de que el usuario diera su autorización. “Creo que eso es lo que han aprovechado los hackers para abrir esta puerta”, indicó Miranda. La prehabilitación fue corroborada por otros afectados. El siguiente mensaje del banco emitido el 30 de abril también lo confirma:

Una vez habilitada, el usuario puede adquirir vía internet por ejemplo un smartphone, ingresando a la página del vendedor (Marca X), y digitando el número de la tarjeta (16 dígitos) y su código de seguridad CVV2 (tres dígitos). La operación es validada por tres actores, entre ellos el vendedor extranjero que, como todos los comercios o servicios internacionales, está asociado a las redes globales de pagos electrónicos: Visa o Master Card.

Una vez se concreta la operación de compra, Marca X recibe el dinero de Visa, Visa recibe el dinero de la EATE de Bolivia y la EATE recibe el dinero del banco en el que el usuario tiene su cuenta. Este proceso de conciliación y compensación es inmediato.

“La filtración de información (nombre del titular, número de la tarjeta y código de seguridad) pudo haber ocurrido en el banco, en la EATE o en el operador global”, un problema que ya sucedió antes, indicó el experto en tarjetas electrónicas. En el caso del Banco Mercantil Santa Cruz, “entiendo que hubo una investigación interna con el soporte de su socio EATE”.

Prevención y atención

Nicole Sánchez observó que en este caso se incumplió con estándares de la ISO 27001, normativa internacional del Sistema de Gestión de la Seguridad de la Información que exige a las empresas u organizaciones avisar al Estado y a cada una de las víctimas sobre la vulneración de este tipo de datos. 

Pero este problema específico no es exclusivo del Mercantil. Sánchez explicó que la banca boliviana ha estado implementando nuevos sistemas de seguridad informática (softwares) y certificaciones internacionales de protección como la NIST, la Cobit o la ISO 27001, pero con complicaciones. 

“El problema real –detalló– no es obtener la certificación, sino cumplir a largo plazo lo que se mostró para obtenerla, ya que estas certificaciones solicitan el cumplimiento de temas normativos a nivel nacional y ciertos parámetros internacionales, como el desarrollo de políticas internas, procedimientos de gestión de riesgos, análisis de amenazas y contar con sistemas informáticos que cumplan con estándares de seguridad".

“La mayoría de los bancos –agregó– no cuenta con personal capacitado que sepa responder de manera adecuada a cualquier tipo de peligros o incidentes”, como en el caso de los consumos no reconocidos. 

Otro ejemplo claro es el consentimiento informado para el tratamiento de datos. En los bancos, se entregan a los clientes documentos que explican este tema, pero lo hacen para cumplir requerimientos legales, no de una manera simple en la que el cliente pueda entender la forma en la que se protegerán sus datos.

“El problema no es obtener la certificación, sino que los bancos cumplan a largo plazo con estándares de seguridad y protección de los usuarios de una manera real”, reiteró Sánchez.

Una problemática relegada

Las “transacciones no reconocidas” ponen igualmente en la palestra el estado de indefensión en el que se encuentra el usuario financiero ante los ciberdelitos.

El 2 de febrero de este año, tras notar los débitos no reconocidos en su cuenta por un valor de 1.800 bolivianos, Lucía presentó también una denuncia ante el Ministerio Público, pero esa acción no tuvo “ninguna respuesta”.

A través de la Fiscalía, “incluso pedimos –explicó el abogado Rocabado– que el banco nos diera las direcciones IP (las identificaciones numéricas de los dispositivos desde donde se hicieron los pagos irregulares) y el destino de las transacciones. Ellos tienen toda la información, pero (los investigadores) luego nos respondieron que ‘se va a hacer cargo el seguro y el que problema ya está solucionado'”.

Una actitud similar tuvo la Defensoría del Consumidor Financiero de la ASFI, entidad que también cuenta con la ISO 27001. La reguladora cerró el reclamo de Lucía. “Nos dijeron que se llegó a un buen término y que no hay nada más que investigar”, contó el abogado.

Sánchez sostuvo que las y los usuarios no pueden realizar denuncias efectivas cuando son víctimas de estos hechos porque el país carece de una normativa en cuestión de ciberdelitos en cualquier entorno, no sólo en el financiero.

El resultado deja “vacíos muy grandes” en la denuncia, la recepción e investigación de delitos que se llevan a cabo en contextos virtuales. A ello se suma la pesada burocracia.

“En la mayoría de los casos, las denuncias ni siquiera son admitidas por no tener los procedimientos adecuados para ese proceso, porque los usuarios no saben cómo presentarlas o porque las personas que las reciben desconocen la terminología, las formas de obtención de pruebas o ciertas acciones que ayudarían a proteger a los usuarios y a implementar procedimientos o sanciones adecuadas”, explicó la experta. 

Compensación cerrada

No obstante, lo ocurrido con el Banco Mercantil Santa Cruz muestra también que la banca cuenta con coberturas para enfrentar este tipo de amenazas.

El experto en tarjetas electrónicas explicó que, en los casos de fraude comprobado, el banco acude al seguro de cada tarjeta o a la póliza que cada banco tiene para robos físicos o virtuales. 

El seguro de tarjeta llega a cubrir desde 1.000 hasta 3.000 dólares para eventos de este tipo, mientras si son “demasiados casos” la cobertura es hecha por el seguro del banco. Esto explica por qué el Mercantil procedió a la devolución de los consumos no reconocidos en plataformas digitales del exterior tanto a quienes tenían el seguro como a los que no lo tenían; aunque sólo a los que se dieron cuenta y demostraron que sufrieron transacciones fraudulentas.

“Hay un hermetismo total”, recalcó Rocabado. “No han soltado nada de información, no lo quieren decir, quedó ahí”, expresó el jurista, extrañado porque ante la frecuencia de estos consumos no reconocidos no saltaron las alarmas en el Mercantil. 

“Este caso fue más intenso, pero no es único. Tenemos varios incidentes que han pasado desde hace algunos años, pero ni la ASFI ni los bancos informan qué es lo que realmente sucede, porque quieren cuidar el prestigio de los bancos”, observó Miranda, quien tampoco recibió ninguna explicación clara de los débitos no reconocidos que sufrió. Como a los demás, le anularon la tarjeta, le dieron una nueva y le devolvieron el monto perdido.

“En otros bancos igual ocurrió, pero de manera no tan frecuente (…). Hubo movimientos irregulares dentro de las cuentas, cobros de servicios que las personas no habían solicitado (…).  A mí también me pasó. En un viaje a Santa Cruz, me aparecieron tres pagos erróneos a Uber Holanda, de $us 5, $us 7 y 3,5 dólares. No se concretaron porque mi tarjeta está deshabilitada”, cuenta Sánchez.

“Hay varias cosas que suceden en el sistema financiero que nunca nos enteramos”, apuntó Miranda. “Si informaran de forma correcta qué es lo que ha pasado, quizás la gente tendría más cuidado”. 

“Hay un riesgo reputacional al cual los bancos no quieren exponerse. Por eso (en el Banco Mercantil Santa Cruz) decidieron negociar con los clientes y asumir el costo”, apuntó el experto en tarjetas. 

Por eso el tema es tan sensible, reconoció Miranda. “Si alguien se entera de que el banco ha tenido una filtración y la ASFI reconoce eso”, el banco puede perder clientes.

Mayor atención a las transacciones

Lo ocurrido en el BMSC precedió a cambios técnicos al interior de ese banco. Una vez se comenzó a devolver el dinero perdido en consumos no reconocidos, el banco eliminó la prehabilitación y cerró el sistema de tarjetas y de compras por internet por aproximadamente una semana, alegando que se estaba “reformulando su seguridad”, relató Rocabado.

“¿Cuánta gente ni se habrá enterado de que tuvo transacciones no reconocidas, porque los montos eran en general bajos”, indicó Rocabado, que luego de esta experiencia brindó tres consejos puntuales: 

• Controlar los extractos bancarios para detectar cualquier movimiento sospechoso y bloquear oportunamente la tarjeta.
• Si se identifica una de estas operaciones, presentar al banco el reclamo “numerado”, para que sí o sí se tenga una respuesta de la entidad y como respaldo para un reclamo posterior ante la ASFI o ante alguna otra instancia legal.
• Pagar el seguro de tarjeta, lo que –desde el punto de vista jurídico– da al usuario más herramientas para presentar su caso ante el banco, ante la ASFI y ante la Autoridad de Pensiones y Seguros.

Lucía, por su parte, dejó atrás su exceso de confianza en la banca –aunque recibió de vuelta su dinero– y revisa sus extractos con regularidad. “Ante un problema como éste, el usuario está prácticamente a su suerte. No vuelvo a tener montos grandes en cuentas que tengan tarjetas de débito, menos en aquellas que estén habilitadas para compras por internet”.

____________________

TE INVITAMOS A SUSCRIBIRTE DE FORMA GRATUITA AL BOLETÍN DE GUARDIANA

Recibirás cada 15 días el boletín DESCOMPLÍCATE. Incluye INFORMACIÓN ÚTIL que te ayudará a disminuir el tiempo que empleas para resolver trámites y/o problemas. Lo único que tienes que hacer para recibirlo es suscribirte en el siguiente enlace: https://descomplicate.substack.com/subscribe

Si tienes dudas, escríbenos al WhatsApp 77564599.