.
Analistas 04/09/2021

¿Por qué tienen éxito los ladrones de las claves bancarias a través del celular?

Guillermo Franco
Periodista/Consultor

Ante la aparente pérdida de efectividad de los enlaces por email o mensajes de texto (SMS) que lo invitan a actualizar sus datos para robarle las claves bancarias, los delincuentes han sofisticado tanto sus métodos que, literalmente, han gemeleado o clonado los ‘call center’ de los bancos.

Sí como suena: gemeleo de los ‘call center’, pues no se trata de una simple llamada en la que le dicen abiertamente, y de una al contestar, “deme su clave virtual”, sino de una puesta en escena completa, en la que las delincuentes ‘actrices’ (normalmente, es una mujer la que llama) ganan su confianza, usan trucos de baja tecnología y juegan con otros psicológicos muy efectivos.

¿Por qué se cae en la trampa? La respuesta más fácil, que dejará tranquilo al banco, es autoflagelarse y decir que uno es un completo idiota, y el responsable. Y seguro hay algo de eso. Pero si de cuidar su autoestima se trata, no se preocupe, a juzgar por la cantidad de audios que circulan por redes sociales de víctimas de este delito, los idiotas por estos días son (somos) muchos.
La verdad es que la respuesta es mucho más larga y compleja, y entenderla podría no solo evitar que usted sea la próxima víctima, sino obligar a los bancos a idear formas de evitar esta modalidad, pues -dicho sea de paso- no es suficiente lo que hacen para advertir a sus clientes o para detectar un fraude en curso, menos para idear soluciones tecnológicas para erradicarlo, que son absolutamente posibles.

La primera razón para caer en la trampa es que los bancos abruman a los clientes con llamadas auténticas ofreciéndole cualquier cantidad de productos: tarjetas de crédito, préstamos preaprobados, servicios médicos de urgencia, incluso en alguna época vendían estadías o tiempos compartidos en resorts de los que eran propietarios o socios. Entonces, ¿qué tendría de raro que lo llamaran para ofrecerle un supuesto beneficio, por ejemplo, la reducción de la cuota de manejo de la tarjeta de crédito o, más recientemente, la devolución del IVA, entre otros anzuelos? Nada de raro.

Es probable que en un acto de sagacidad usted mire la pantalla de su celular para identificar el número del cual le marcan. Si bien muchos no han tenido esa precaución, algunos han caído precisamente por ella. Una mujer, en un audio distribuido en redes sociales, dice que lo que más le inspiró confianza es que era el 3383838 (Teléfono Rojo de Davivienda), precedido del dígito 1.

Para ilustrar hemos escogido el caso de esta entidad, lo que no quiere decir que los delincuentes no suplanten a todas.
Al hecho de que la víctima asuma que son normales las llamadas de los bancos, los delincuentes agregan el uso de protocolos de cortesía y la ‘plena’ identificación del funcionario:

- Estafadora: Buenos días, ¿tengo el gusto de hablar con el señor XXX?

- Víctima: Dígame en qué le puedo servir

- Estafadora: Señor XXX me presento: mi nombre es Sofía Villegas. Me estoy comunicando del Banco Davivienda en la ciudad de Bogotá…”.

- Víctima: Cuénteme en qué le puedo servir

Luego introducen el supuesto protocolo de seguridad y algo de psicología inversa; es decir, conseguir que haga lo que quieren proponiéndole realizar exactamente lo contrario:

- Estafadora: Permítame informarle que la llamada está siendo grabada y monitoreada para efectos de calidad y seguridad de nuestros clientes y no estoy autorizada para pedirle datos personales o bancarios durante la llamada.

Una vez ganada la confianza con esta introducción se lanza el anzuelo, el presunto beneficio.

Si a usted le dicen que le van a consignar un millón de pesos, por la razón que sea, su cerebro reacciona inmediatamente: “de eso tan bueno no dan tanto”. Por eso, los delincuentes lanzan anzuelos con cifras razonables: tenemos que depositar 75 mil pesos de devolución del IVA, vamos a reducir o eliminar la cuota de manejo, que es una cifra que está entre 20 y 30 mil pesos. Ningún monto estrambótico.
Aquí es donde entra a jugar la cuota de idiotez, o al menos de desinformación de la víctima. Las devoluciones del IVA, que existen, están dirigidas a los hogares más vulnerables, normalmente no bancarizados, y la forma de devolución no es a través de consignaciones en cuentas bancarias que elija el beneficiario a través de una llamada telefónica, o como un saldo a favor en la tarjeta de crédito, o redimidos a través de alguna empresa para compras o pagos de impuestos. Pero los montos sí corresponden a la devolución que hacen a quienes tienen derecho.

Luego de que usted accede a recibir el beneficio viene la parte más preocupante de la estafa, la supuesta funcionaria hace un proceso de validación de su identidad para poder entregárselo (¡para que entre en pánico!) con información suya completamente verídica.

- Estafadora: En estos momentos por motivos de seguridad vamos a hacer un filtro de titularidad del cliente…

Estafadora: ¿Estoy comunicada con el señor XXX, identificado con cédula de ciudadanía tal?

Estafadora: ¿Usted tiene o ha tenido relación con la dirección tal?

Estafadora: ¿Tiene o ha tenido relación con la línea telefónica tal?

Tienen su nombre, cédula, dirección de domicilio actual, anteriores, teléfono fijo actual y anteriores, etc.
Luego de que usted ha sido víctima de un fraude de estos, la pregunta que más lo atormentará es: ¿cómo sabían tanto de mí, que era cliente del banco, mi nombre, cédula, domicilio, teléfonos…?
Usted no tendrá pruebas, pero tampoco dudas, de que alguien dentro de la entidad está filtrando información. Aunque la verdad es que las fuentes de esa información pueden ser múltiples, no necesariamente un funcionario inescrupuloso del banco. Colombia es uno de los países del mundo en los que menos se protegen los datos personales.

El hecho es que no lo llaman al azar, ha habido un trabajo previo de “inteligencia”, como diría la policía.
Pero que los delincuentes posean esa información es, precisamente, lo que más confianza le dará a usted.

- Estafadora: En estos momentos el sistema me indica que las respuestas han sido cien por ciento validadas, lo que me permite dejarlo comunicado directamente con la audiolínea, que por motivos de seguridad debe verificar la autenticidad del cliente…

Y nuevamente, la psicología inversa:

- Estafadora: Señor XXX le recuerdo que por ningún motivo me va a indicar verbalmente ninguno de estos datos, ya que no me encuentro autorizada a recibir este tipo de información, ¿de acuerdo?

Aquí se introduce el elemento tecnológico para darle la falsa sensación de seguridad:

- Estafadora: Le recuerdo que la información brindada se reflejará sobre la pantalla de su teléfono móvil por motivos de seguridad… Para iniciar el proceso lo primero que debe hacer es dirigirse al teclado numérico y activando la tecla número 5 para ir directamente…

Y aquí viene la cereza del pastel del gemeleo del ‘call center’, usted escucha un audio, perfectamente sincronizado, que dice:

¡Bienvenido al Teléfono Rojo de Davivienda…!

Aquí es donde usted entrega su clave a través del teclado de su celular, siguiendo las instrucciones de la audiolínea, y arranca el saqueo de la cuenta. La idea de los estafadores es mantenerlo en la línea mientras lo hacen.

En el caso de marras, según confirmó la operadora que recibió la denuncia, se hizo a través de una transferencia a Daviplata (producto mencionado en muchos otros casos).

Cuando se pidió el bloqueo de la cuenta, se informó que ya lo estaba por una alerta de seguridad interna. Es decir, el banco detectó como sospechosa la transacción, pero la dejó pasar.

Curiosamente, no llegó el mensaje de texto habitual de la transacción. Luego se comprobó que sí habían un enviado un mensaje de WhatsApp para confirmar si se estaba realizando esa transacción, pero este por alguna razón no fue visible, quedó archivado.

Luego de que usted escucha la grabación del fraude del que ha sido víctima, se da cuenta de muchas inconsistencias (la suplantación es burda), pero como dice la sabiduría popular: todos son generales después de la guerra. La explicación (presumamos de psicólogos) es que una cosa es ver los hechos desde afuera, y luego de que han ocurrido, y otra, muy diferente, estar dentro de ellos, en tiempo real.

Usted quedará inquieto no solo porque tienen toda su información, sino por la sensación de que es un delito que tiene un componente tecnológico que, teóricamente, permitiría rastrear a los responsables, pero no se hace. En la llamada de marras, que duró 13 minutos (Sí, ¡13 minutos!) aparecía un número celular fácilmente rastreable, llegó mensaje de texto con código de seguridad simulando ser de la entidad, también fácilmente rastreable. Pero uno escucha muy poco de capturas o desarticulación de bandas. Probablemente, ventilar esto públicamente sería reconocer las vulnerabilidades de los bancos.

También quedará con la sensación de que hay poco interés de las entidades por conocer los detalles de su caso. En este se ofreció la grabación de la llamada, por lo menos para usarla en alguna campaña educativa con los clientes, pero no hubo interés en ella.

A través de un personaje (que genera más animadversión que empatía) que hace sentir ridículas a las víctimas, ‘La Tía Segura’, la noche del fraude llegó un email a otros clientes advirtiendo de la modalidad de la devolución del IVA, pero sobresimplificando la modalidad del gemeleo del ‘call center’ a una simple y breve llamada en la que para obtener el beneficio usted “solo debe ingresar su clave bancaria”.

Luego, sutilmente, en el mensaje cargan en el cliente la responsabilidad por las eventuales consecuencias: “¡no ve que le pueden sacar su platica en un parpadeo!”.

¿Se puede hacer algo? Después de que le saquearon su cuenta bancaria, un cliente YYY presume de no hacer transacciones en su computador, de no tener la app de su banco en el celular, ni siquiera de contestar las llamadas de sus funcionarios.

A riesgo de exponerse al contagio por Covid, prefiere ir personalmente a la oficina física, hacer fila y, dice, si le toca, hasta usar el talonario de papel.

Incluso llegó a un acuerdo con su banco, mediado por abogados, para que cualquier transacción superior a cierto monto deba contar con su aprobación.

A este patrón de comportamiento, que podría ser descrito como el ‘anticliente virtual’, llegó luego de que le saquearan de su cuenta millones de pesos.

Este ‘anticliente virtual', la desconfianza plena en las llamadas y los métodos virtuales, parecería ser en único antídoto efectivo para hacer frente a la pandemia de robo de claves bancarias, en particular a través del teléfono celular.

Eso podría significar la muerte del mercadeo telefónico, pero es lo más sano mientras no haya mecanismos para diferenciar entre las llamadas del banco y las de los estafadores.

Esto no lo soluciona la ‘Tía Segura’, sino el uso creativo de la tecnología… en lo que estamos muy quedados, por lo menos para combatir este delito.

*En el caso de marras, el banco reconoció el monto robado