EscucharEn cuestión de dos horas, un grupo de estafadores sacó cerca de ¢93 millones de las cuentas bancarias de una empresa dedicada a la formación académica superior.
Los hechos fueron denunciados por la compañía —cuyos representantes pidieron que no fuera identificada— ante el Organismo de Investigación Judicial (OIJ), contra ignorado (no se conoce la identidad de los sospechosos) y en una demanda contra el Banco Nacional, al cual responsabilizan por presuntamente haber fallado en sus medidas de seguridad.
Los denunciantes detallaron que el hecho ocurrió el 14 de octubre del 2021, día en que uno de los dos administradores de las cuentas recibió varias llamadas telefónicas de un número que correspondía al del Banco Nacional.
En la primera llamada le alertaron de que una tarjeta de crédito estaba siendo usada por terceros, le pidieron que reconociera una serie de transacciones y le solicitaron varios datos, entre otros, el número de la tarjeta.
Después de esa llamada, se iniciaron los movimientos bancarios no autorizados por la compañía. Eso ocurrió a pesar de que no se dio la autorización de forma mancomunada por parte de los dos administradores.
Primero, se realizaron transferencias de la cuenta en dólares de la organización a la cuenta en colones, y de allí se ejecutaron 14 transferencias, por un total de ¢52 millones, a cuentas de personas particulares. Luego, de la cuenta en dólares salieron $77.110 (más de ¢41 millones al tipo de cambio actual), en diez transferencias, a otras cuentas particulares.
Las transacciones se completaron en aproximadamente dos horas, periodo en que más de 20 cuentas fueron domiciliadas y habilitadas para recibir transferencias de dinero.
El representante de la empresa indicó que “los sistemas de seguridad que implementa el Banco Nacional requieren de un período de tiempo mucho mayor entre el domicilio o matrícula de una cuenta y el tiempo necesario para que la misma sea activada” y en este caso eso no ocurrió.
También recalcó en su denuncia que aún y cuando los accesos del funcionario a la cuenta bancaria hubiesen sido obtenidos mediante la llamada fraudulenta, con estos no era suficiente para realizar las transferencias bancarias detalladas. Entre otras cosas, porque dicho funcionario no tenía la clave token instalada en su celular en ese momento, por lo que desde sus accesos no debió ser posible sacar ese dinero.
LEA MÁS: ‘Hackers’ robaron ¢1,6 millones en siete minutos a adulto mayor mientras era atendido en BCR
‘Sistema presentó una seria falla de seguridad’
En la demanda presentada al Tribunal Contencioso Administrativo, el representante de la empresa detalló los aparentes fallos del sistema bancario que llevaron a la extracción de dinero.
En el documento explicó que con el acceso al sistema Internet Banking del administrador de la cuenta, un hombre de apellido Romero se constituyó como nuevo administrador y se otorgó todo tipo de permisos para realizar transferencias, e incluso inscribió un correo personal.
En el reclamo, se indica que la autorización e inclusión de Romero no se realizó mediante el procedimiento autorizado por el Banco Nacional y que siempre utilizó la empresa, el cual consiste en la presentación ante el banco de un formulario llamado Solicitud Virtual de Cambios Usuarios Administradores.
La compañía señaló que el 7 de diciembre del 2021 el subgerente de Operaciones del Banco Nacional, Jaime Murillo, rechazó la solicitud de restituir el dinero sustraído, pues todas las transacciones se realizaron con el código de usuario asignado al administrador legal de la cuenta.
LEA MÁS: Estafadores digitales pagan ¢50.000 para tener cuentas bancarias donde desviar dinero robado
Los afectados luego presentaron un recurso de revocatoria y apelación en subsidio, en el cual alegaron que “el Banco Nacional no hace una investigación para verificar la verdad real de los hechos, ya que de forma simplista se limita a concluir que todas las transacciones reclamadas fueron realizadas por el código de usuario (del administrador), sin explicar cómo un delincuente logra constituirse en administrador con los accesos”.
El 27 de enero del 2022, la subgerencia general de Operaciones del banco rechazó el recurso de revocatoria, al argumentar que el cliente que entregó sus datos incurrió en un descuido grave, y que “es una obligación del cliente custodiar la información asociada a la cuenta, así como los mecanismos de seguridad”.
Posteriormente, la compañía recibió un informe de la Dirección Jurídica del banco, el cual confirma que una persona adicional fue incluida en el grupo mancomunado con acceso a la cuenta.
Dicho informe también constató que este nuevo miembro del grupo mancomunado modificó las medidas de seguridad para que el sistema no mandara correos ni mensajes de texto alertando sobre las transferencias.
Para sustentar la demanda, la organización puso de ejemplo que en el 2019, para poder abrir cinco cuentas bancarias, el Banco Nacional pidió que se detallaran en carta firmada por el representante legal, los nombres y números de cédula de las personas autorizadas en dichas cuentas, personería jurídica vigente y fotocopia de la cédula de identidad del representante legal y firmantes de la cuenta, entre otros documentos.
“Resulta claro entonces que el Sistema Internet Banking del Banco Nacional presentó una seria falla de seguridad, al aceptar operaciones contrarias a la ley, ya que permitió la autorización de un tercero en las cuentas bancarias, la cual fue realizada con el código de otro autorizado y no por el titular de la cuenta”, señala el documento.
El Poder Judicial confirmó que este proceso se encuentra en trámite en el Tribunal Contencioso Administrativo y Civil de Hacienda, dentro del expediente 23-00887-1027-CA-4. La abogada de la empresa afectada, Lucrecia Brenes, indicó que hasta abril del 2024 se realizará la audiencia preliminar.
Ante consulta de La Nación, la Dirección Jurídica del Banco Nacional respondió que debido a que el asunto se encuentra en corriente judicial, el banco “no puede referirse al respecto para no interferir en la tramitación normal del proceso”.
