Las estafas bancarias no son algo nuevo, desde las tarjetas clonadas hasta la ingeniería social, se puede decir que seguro que a uno mismo o a alguien alrededor le ha pasado. Ahora, una publicitaria contó paso a paso vía Twitter la pesadilla que sufrió durante horas para evitar que otros pasen por lo mismo.

Durante la mañana de ayer, la joven entró a su home banking para chequear si había entrado el pago de un trabajo y se da cuenta que le faltaba dinero. Específicamente, había 12 extracciones por cajero de $500 cada una que ella, de más está decir, no había realizado.

Lo primero que hizo, por supuesto, fue el “paso número 1 cuando te hackean la tarjeta”: llamar a la entidad que gestiona el servicio de su tarjeta de débito, Banelco (propiedad de Prisma Medios de Pago), para dar de baja la tarjeta. La usuaria estaba segura que le habían hackeado la tarjeta, pero la cosas resultaron más complicadas.

Luego, como quería entender que había pasado, se acercó a una sucursal de su banco (el Galicia), ubicada en el Microcentro porteño, para hacer el reclamo correspondiente pero no le explicaron qué pasó exactamente.

La tarjeta no fue clonada (porque ella no la usa) y por más que la tuvieran, era imposible que además hubieran conseguido el PIN y, además, la clave alfanumérica, explicó en sus tuits. Y si bien la tarjeta fue reemitida por el banco, el problema no paso por allí.

Entonces, ¿qué paso? La estafa se hizo a través de Todo Pago (TP), específicamente a través de una funcionalidad que permite retirar dinero en cajeros tan solo generando un PIN en la App del sistema.

¿Qué es Todo Pago? Una billetera virtual que permite centralizar todos los medios de pago que uno tiene para hacer compras sin sacar las tarjetas cada vez que uno realiza una compra. Y, también, retirar dinero.

¿Para qué sirve lo de sacar dinero? Si le tenés que pasar dinero a un familiar, le mandas un pin y con ese número retira dinero de un cajero. Solo había que ingresar a la App, cargar el DNI del destinatario (que podía ser uno mismo) y con el PIN generado retirar el dinero del cajero.

Para enlazar la cuenta de TP a una cuenta de banco basta con los números de la tarjeta de débito o una foto de ella. Y acá viene el problema: se puede linkear la tarjeta con cualquier cuenta, abierta con un mail falso, con tal de que los datos estén ok. Como cualquiera sabe, DNI y CUIT se consiguen con un sencillo googleo que no requiere demasiadas habilidades más allá de escribir en el buscador el nombre de la persona y “DNI” o “CUIT/CUIL”.

Si la usuaria hubiera tenido cuenta en TP, no hubiera pasado nada porque no se puede enlazar la misma tarjeta a dos cuentas diferentes, pero en este caso ella no la tenía.

Lo único que le faltaba hacer a los estafadores era abrir la App y generar el PIN para sacar de a 500 pesos (para que el sistema no les pida mayores datos). En el caso de la afectada, los retiros fueron en cajeros ubicados en la localidad de Lanús, provincia de Buenos Aires.

La falla de seguridad está en que cuando se enlaza la tarjeta de débito, no hay pasos extras mas allá de chequear que esté linkeada a otra cuenta de TP. Esto no ocurre con las tarjetas de crédito, más que nada las que no son procesadas por Prisma: para autorizarlas, el sistema tiene el paso de generar un consumo muy pequeño que uno luego debe verificar.

¿Cómo evitarlo?

La manera más sencilla es darse de alta de Todo Pago y linkear la tarjeta de débito con una cuenta, por más que luego no lo usemos. El servicio no tiene cargos extras. De cualquier manera, desde TP informaron, consultados por INFOTECHNOLOGY, que ya dieron de baja la funcionalidad de enviar dinero a través de la App vía PIN mientras están investigando cómo solucionar el punto ciego del sistema.

Además, hay que evitar dejar sola la tarjeta. Pero, como cualquier usuario sabe, la costumbre en la Argentina es dar la tarjeta y que la persona que cobra realice el pago. Esto sucede, más que nada, en restaurantes y bares, donde la tarjeta desaparece de nuestra vista por varios minutos, y es ahí donde pueden conseguir los datos que se necesitan para el fraude: número de tarjeta, vencimiento y los tres números de seguridad.

Y no, no es habitual en todos lados. Juan Roza, gerente de Relaciones Institucionales de Prisma, comenta que desde la empresa están intentando “un cambio cultural para que lleven el POS inalámbrico a la mesa y no se lleven la tarjeta y la identificación”. En Chile, por caso, el pago lo gestiona el comprador, el vendedor nunca toca la tarjeta.

El representante de Prisma menciona un dato adicional: el índice de fraude en la Argentina es el más bajo de la región, es menor al 0,5% de todas las transacciones. Señala también que la mayoría de cajeros son nuevos y que los del Banco Macro, por ejemplo, ya utilizan biometría para verificar la identidad. “Este año debiera empezarse con cajeros en la calle con lectores faciales”, agrega.

Acá está toda la historia:

SD SEBASTIÁN DE TOMA @sebadetoma