U$D

Dólar Banco Nación
/
Merval

Vaciaron una cuenta bancaria gracias a la falla de una billetera virtual

La creación de nuevas soluciones tecnológicas orientadas a servicios financieros no están libres de tropiezos. Una usuaria detectó que le retiraron $ 6000 pesos a través de extracciones en distintos cajeros. Habían adherido a una billetera digital a su nombre

Vaciaron una cuenta bancaria gracias a la falla de una billetera virtual

Las estafas bancarias no son algo nuevo, desde las tarjetas clonadas hasta la ingeniería social, se puede decir que seguro que a uno mismo o a alguien alrededor le ha pasado. Ahora, una publicitaria contó paso a paso vía Twitter la pesadilla que sufrió durante horas para evitar que otros pasen por lo mismo.

Durante la mañana de ayer, la joven entró a su home banking para chequear si había entrado el pago de un trabajo y se dio cuenta de que le faltaba dinero. Específicamente, había 12 extracciones por cajero de $ 500 cada una que ella, de más está decir, no había realizado.

Lo primero que hizo, por supuesto, fue el "paso número 1 cuando te hackean la tarjeta": llamar a la entidad que gestiona el servicio de su tarjeta de débito, Banelco (propiedad de Prisma Medios de Pago), para dar de baja la tarjeta. La usuaria estaba segura que le habían clonado la tarjeta, pero la cosas resultaron más complicadas.

Luego, como quería entender que había pasado, se acercó a una sucursal de su banco (el Galicia), ubicada en el Microcentro porteño, para hacer el reclamo correspondiente pero no le explicaron qué pasó exactamente.

La tarjeta no fue clonada (porque ella no la usa) y por más que la tuvieran era imposible que hubieran conseguido el PIN y, además, la clave alfanumérica, explicó en sus tuits. Y si bien la tarjeta fue reemitida por el banco, el problema no paso por allí.

Entonces, ¿qué paso? La estafa se hizo a través de Todo Pago (TP), específicamente a través de una funcionalidad que permite retirar dinero en cajeros tan solo generando un PIN en la App del sistema..

¿Qué es Todo Pago? Una billetera virtual que permite centralizar todos los medios de pago que uno tiene para hacer compras sin sacar las tarjetas cada vez que uno realiza una transacción. Y, también, retirar dinero.

¿Para qué sirve lo de sacar dinero? Si le tenés que pasar dinero a un familiar, le mandas un PIN y con ese número retira dinero de un cajero. Solo había que ingresar a la App, cargar el DNI del destinatario (que podía ser uno mismo) y con el PIN generado retirar el dinero del cajero.

Para enlazar la cuenta de TP a una cuenta de banco basta con los números de la tarjeta de débito o una foto de ella. Y acá viene el problema: se puede linkear la tarjeta con cualquier cuenta, abierta con un mail falso, con tal de que los datos sean correctos. Informaciones como el DNI y CUIT se consiguen con un sencillo googleo que no requiere demasiadas habilidades más allá de escribir en el buscador el nombre de la persona y "DNI" o "CUIT/CUIL".

Si la usuaria hubiera tenido cuenta en Todo Pago no hubiera pasado nada porque no se puede enlazar la misma tarjeta a dos cuentas diferentes, pero en este caso ella no la tenía.

Lo único que le faltaba hacer a los estafadores era abrir la App y generar el PIN para sacar de a $ 500 (para que el sistema no les pida mayores datos). En el caso de la afectada, los retiros fueron en cajeros ubicados en la localidad de Lanús, provincia de Buenos Aires.

La falla de seguridad está en que cuando se enlaza la tarjeta de débito, no hay pasos extra mas allá de chequear que esté linkeada a otra cuenta de Todo Pago. Esto no ocurre con las tarjetas de crédito, más que nada las que no son procesadas por Prisma: para autorizarlas, el sistema tiene el paso de generar un consumo muy pequeño que uno luego debe verificar.

¿Cómo evitarlo?

La manera más sencilla es darse de alta de Todo Pago y linkear la tarjeta de débito con una cuenta, por más que luego no lo usemos. El servicio no tiene cargos extras. De cualquier manera, desde TP informaron, consultados por Infotechnology, que ya dieron de baja la funcionalidad de enviar dinero a través de la App vía PIN mientras están investigando cómo solucionar el punto ciego del sistema.

Además, hay que evitar dejar sola la tarjeta. Pero la costumbre en la Argentina es dar la tarjeta y que la persona que cobra realice el pago. Esto sucede, más que nada, en restaurantes y bares, donde la tarjeta desaparece de nuestra vista por varios minutos, y es ahí donde pueden conseguir los datos que se necesitan para el fraude: número de tarjeta, vencimiento y los tres números de seguridad.

Y no, no es habitual en todos lados. Juan Roza, gerente de Relaciones Institucionales de Prisma, comenta que desde la empresa están intentando "un cambio cultural para que lleven el POS inalámbrico a la mesa y no se lleven la tarjeta y la identificación". En Chile, por caso, el pago lo gestiona el comprador, el vendedor nunca toca la tarjeta.

El representante de Prisma menciona un dato adicional: el índice de fraude en la Argentina es el más bajo de la región, es menor al 0,5% de todas las transacciones. Señala también que la mayoría de cajeros son nuevos y que los del Banco Macro, por ejemplo, ya utilizan biometría para verificar la identidad. "Este año debiera empezarse con cajeros en la calle con lectores faciales", agrega.

Más notas de tu interés

Comentarios4
Adrian Oscar Lescano
Adrian Oscar Lescano 17/01/2018 05:42:42

me parece mejor dar de baja todo pago

Fer Molina
Fer Molina 17/01/2018 09:06:36

Hidden ad detected!!! Hahaha

Diana Graciela Alonso
Diana Graciela Alonso 17/01/2018 09:41:15

Ni siquiera lo pensaron los redactores. La damnificada, Elena Paoloni, contó toda su experiencia en twitter y ella sugirió hacerlo hasta que pongan medidas de seguridad los de TP

Ariel Barri
Ariel Barri 17/01/2018 08:44:50

No pueden recomendar el alta el en todo pago. La verdad no sean irresponsables.