Escuchar
Durante el 2021, el Banco Nacional detectó un promedio de 120 páginas web falsas que pretendían suplantar el sitio de la entidad financiera, sin embargo esa cifra se multiplicó y en los primeros dos meses de este año dicho promedio subió a casi 400, según confirmó Jaime Murillo, subgerente de esta entidad y encargado de temas de seguridad.
Esta situación está muy relacionada con el crecimiento de denuncias por traslados de dinero de las cuentas de los clientes, especialmente utilizando Sinpe Móvil, que permite transferir a cuentas asociadas a un número celular. Las denuncias aumentaron cerca de 50% entre el primer trimestre del 2021 y el mismo periodo del 2022, detalló Murillo.
El número absoluto de denuncias, dijo Murillo, se las reservan por aspectos de seguridad y diligencias internas, pero el monto, añadió, no ha tenido un incremento muy relevante porque el máximo que se puede retirar por día con Sinpe Móvil son ¢200.000 y si el cliente se percata a tiempo se frenan los traslados.
El Banco Nacional anunció, el miércoles 30 de marzo, que ante el incremento en los reportes de estafas, principalmente por medio de transferencias Sinpe Móvil, ahora solicitarán un código de verificación para utilizar esta herramienta. Esto, luego de que durante el miércoles comenzaran a proliferar quejas en redes sociales sobre supuestas sustracciones de dinero a clientes.
LEA MÁS: Ante aumento de estafas, Banco Nacional pedirá código para transferir por Sinpe Móvil
¿Cómo opera esta estafa?
Murillo explicó que la cantidad de páginas falsas los llevan a pensar que el mecanismo que estaban usando los estafadores para hacer traslados de las cuentas de los clientes a otras cuentas utilizando principalmente Sinpe Móvil, era robar las claves por medio de estos sitios falsos.
Carlos Melegatti, director de la División de Sistemas de Pagos del Banco Central, administrador de la plataforma Sinpe, explicó que para ingresar a este sistema siempre se hace por medio de una plataforma bancaria.
“El Banco Central no le da los servicios del Sinpe directamente a los ciudadanos, el Sinpe está detrás de los bancos, está en la conexión con los bancos, ahí es donde opera. Siempre, para usar el Sinpe, tengo que pasar por las puertas y atravesar la seguridad del sistema financiero”, detalló Melegatti.
Precisamente las páginas falsas, detalló Murillo, son la vía que usan los delincuentes para atravesar esa seguridad. Con la clave ingresan a la cuenta de la persona y de ahí pueden hacer transacciones, la más común es enviar montos a números de celular por medio de Sinpe Móvil (cada número está asociado a una cuenta bancaria).
“En esa transferencia el ordenante no necesariamente tiene que estar registrado en Sinpe Móvil, porque lo que está haciendo es una transferencia como cualquier otra, de hecho el sistema le permite seleccionar la cuenta de la cual quiere hacer el débito, pero el receptor sí tienen que estar en Sinpe Móvil porque usted manda el dinero a un número celular”, detalló Murillo.
Una vez que trasladan los recursos a una cuenta hay una persona esperando en un cajero automático para retirar los recursos y una vez que se pasan al efectivo se pierde la trazabilidad.
“Se ponen de acuerdo con la persona que va a recibir el dinero, eso es importante, las mismas policías en el país, lo tienen claro, estos tipos van y hacen y le compran servicios incluso a indigentes de tal manera que les piden, o que abran una cuenta o que le vayan a retirar equis suma al banco”, comentó Murillo.
El funcionario bancario detalló que en la transacción queda registrado el número de celular de la persona a la cual se le transfirieron los recursos, por lo tanto el estafado puede conocer el nombre y apellido de la cuenta a la cual transfirieron su dinero. Además, quedan grabados los videos de quienes retiran el efectivo del cajero automático.
Añadió que hay jurisprudencia y varias sanciones en contra de personas que prestaron sus cuentas para cometer un ilícito y no fue, necesariamente, el que creó todo el ilícito, pero sí prestó su cuenta y terminan con años de cárcel.
Niveles de seguridad
Como los montos de Sinpe Móvil son pequeños, agregó Murillo, el Banco tenía un nivel de seguridad básica, que era el usuario y la clave; al percatarse de la situación aumentaron las medidas con el envío del código, con lo cual esperan frenar el problema.
Tanto Melegatti como Murillo consideran que el instrumento más seguro actualmente para ingresar a las cuentas es la firma digital.
Murillo explicó que el Nacional ofrece firma digital y también los clientes pueden registrar el teléfono móvil en el Banco; esto se llama registro de dispositivo, de tal forma que solo se pueda ingresar si se usa ese aparato específico. En estos casos no hace falta código para transferir por Sinpe Móvil porque el mecanismo de seguridad es más robusto.
También explicó que en materia de reclamos de los clientes afectados, estudian caso por caso y algunas situaciones puede ser que el Banco devuelva el dinero al afectado.
“Nosotros estamos revisando denuncia por denuncia, siendo muy conscientes y muy solidarios con los clientes, en algunos casos hemos llegado a decir, en esta transacción se dieron varias situaciones equis, no tenía doble factor de autenticación y otra serie de eventos, o elementos, que, una vez revisados, nos están haciendo tomar decisiones, por un tema de solidaridad con el cliente; a pesar de que dio su clave, nosotros vamos a reconocer el fraude”, indicó Murillo.
Jaime Molina, subgerente general del Banco Nacional: “La firma digital es el mecanismo más robusto”
–¿Qué es lo que ha estado ocurriendo?
–Entre enero y febrero del 2022 notamos un incremento muy importante en la cantidad de sitios falsos que identificamos en Internet, que simulan ser la página del Banco Nacional. El promedio fue de 120 sitios por mes, pasamos al cierre de febrero a tener casi 400 sitios falsos.
”¿Para qué se generan los sitios falsos? Para que la gente se meta creyendo que es la página de su banco y lo primero que le pide es la clave, en el momento en que usted digita su clave dentro de un sitio falso, está entregando la llave de acceso a los sistema transaccionales de los bancos.
”Esa seguridad básica lo que exigía era su clave y usuario al inicio (...) ¿Qué fue lo que hicimos inmediatamente nos dimos cuenta de la situación? Le subimos el nivel de seguridad a la transacción, y eso lo hace uno por medio de otros mecanismos, por ejemplo, lo que llamamos nosotros poner dobles factores de autenticación”.
–Actualmente existen mecanismos más robustos que las claves, como la firma digital, ¿por qué el Banco Nacional no usa estos otros mecanismos?
–No es lo que no los usamos, claro que los usamos, de hecho la firma digital es el mecanismo más robusto que puede existir en este momento para hacer transacciones desde su computadora.
”Hoy está en producción, lo tenemos, lo que pasa es que los clientes no tienen firma digital, por costo, por lo que sea, realmente la penetración de la firma digital, digamos que no está en un nivel deseado como país.
”De hecho, yo entro con firma digital a mi computadora y como ese mecanismo de seguridad es tan robusto yo no necesito poner más mecanismos de seguridad dentro de la aplicación.
”Eso mismo aplica a algo que nosotros tenemos para las aplicaciones móviles. Para el app en el móvil, nosotros tenemos la posibilidad de que nuestros clientes puedan decirle a nuestros sistemas que siempre se va a conectar con este móvil, eso se llama registro de dispositivo, eso está vigente y es parte de lo que estamos haciendo y, mucho, aprovechando estos espacios para poder reforzar ante nuestros clientes la existencia de estos mecanismos”.
–¿Cuántos clientes del Banco Nacional tienen firma digital?
–Tenemos como un millón de clientes que hacen al menos una transacción por mes por canales digitales, de esos no llega ni siquiera al 5% la cantidad de clientes que tienen firma digital.
–Con Sinpe Móvil queda la trazabilidad de toda la transacción, las personas pueden saber con nombre y apellidos de la persona dónde fue a dar el dinero. Lo que me decía es que a veces utilizan cuentas de personas indigentes. ¿También se expone la gente que presta el número?
–De hecho, hay jurisprudencia, varias sanciones en contra de personas que prestaron sus cuentas para cometer un ilícito y no fue necesariamente el que creó todo el ilícito, pero sí prestó su cuenta y terminan con años de cárcel.
