(Por Rubén Borlenghi, el Microsaurio) Los programadores al servicio del home banking tienen mucha imaginación. Pero los estafadores también. Operar cuentas bancarias a través de la compu de un ciber, o en un bar, no es muy seguro que digamos, y aunque se inventó el doble factor de autenticación mediante un SMS desde el banco al celu del cliente, ya encontraron una manera de puentearlo. Complicada, claro, pero funcionó. Vení que te cuento
Primero, un repasito. Eso del doble factor de autenticación, en criollo, significa agregarle un escollo al delincuente; además de usar tu nombre de usuario y contraseña para iniciar una operación, tu celular recibe un SMS desde el servidor al que querés ingresar, y vos tenés que copiar un conjunto de caracteres que están ahí, como si fuese una “segunda contraseña”. De esto hay variantes, pero más o menos coinciden. En resumen, tienen que estar juntos: vos, un teclado de PC, y tu celular.
Hasta ahí todo bárbaro. Pero un australiano que tenía una cuenta corriente en un banco que usa ese sistema, se llevó una sorpresa: un delincuente le había limpiado 45.000 dólares (australianos, pero dólares al fin) de esa cuenta.
Y la transacción estaba absolutamente en regla.
La información del banco podría ser reconstruida así:
- Usted ingresó al website de nuestro banco.
- Escribió su nombre de usuario y contraseña para ingresar al home banking
- Los verificamos, estaban correctos.
- Pidió hacer una transferencia de $45.000
- Nuestro sistema está preparado para detectar transacciones grandes o desacostumbradas, destinadas a cuentas externas no habituales
- El sistema envió un SMS al número que tenemos registrado como su celular. El mensaje contenía un código de verificación que usted debía escribir en nuestra página web.
- Usted escribió el número que le enviamos, en nuestra página de home banking.
- Usted autorizó la transferencia. Para el sistema, usted era usted.
Pero… según pude leer acá, la gente de la oficina de fraudes del banco desconfió igual (ah, el mejor sistema de seguridad sigue siendo un humano desconfiado). Y llamaron por teléfono al Señor Australiano.
Primero al celu, que no contestó; ahí congelaron los fondos de la cuenta, por si acaso (la primera transferencia ya se había realizado, cosas de la electrónica bancaria…) Luego llamaron al teléfono fijo que había en su ficha de cliente. De humano a humano, se desentrañó el misterio.
Al señor australiano no le funcionaba el celu desde la tarde anterior. Para ser más exactos, funcionaba (se encendía el display) pero nadie lo había llamado. Ni podía hacer llamadas, pero la empresa telefónica le había avisado que así sería.
¿La culpa la tuvo la portabilidad?
Bueno, no, pero sí. En Australia hay, desde el 2001, portabilidad numérica para celular. Y además, la obligación de pasar el número de línea al aparato que el cliente quiera comprarse, aunque no sea el que les vendió la empresa originalmente. De _esa_ portabilidad se trata, en este caso, que despertó el ingenio de un par de estafadores.
El procedimiento usado fue el siguiente:
Identificaron nombre y apellido de un ejecutivo de una empresa, que tenía un buen sueldo.
Conocido el nombre y apellido, dieron varios pasos que no te voy a detallar, y con la ayuda de la Internet obtuvieron domicilio completo, nombres de padre, madre y esposa; y las páginas de las redes sociales… bueno, ahí hay de todo, como bien sabemos. Incluyendo cuanto número telefónico fijo o móvil, personal o comercial, tuviese este buen señor, además del nombre de la empresa proveedora de cada servicio celular, y el modelo de celu que usaba en cada empresa. Les costó un poco más, una horita, digamos. Pero si vos decís que sos vos, la empresa te da, sobre vos, los datos que pidas, ¿ok?
Con la información obtenida, llamaron al proveedor de su línea celular particular. Se hicieron pasar por el cliente, y pidieron que se dieran de baja el celu marca XXXXX que tenía porque se había comprado otro, al que había que asignar la vieja línea. El empleado preguntó cosas simples (nombre y apellido, fecha de nacimiento…) e hizo el pase
Justo antes de que un estafador hablase con la empresa de celulares, otro delincuente llamó a la víctima, y le dijo que hablaba desde la empresa telefónica, para avisar que por un día o dos su línea iba a estar inhabilitada por un problema técnico, pero que le bonificarían el servicio no prestado (¡oh, qué amables!) Eso les sirvió para mantener tranquilo al futuro desplumado.
Las llamadas las hicieron a las cinco y pico de la tarde, por lo cual (supusieron y acertaron… a medias) nadie en el banco estaría verificando transacciones.
Entraron en el home banking, pusieron nombre y password del señor australiano, recibieron el SMS verificador (pero en un celu de ellos, no en el del cliente) y completaron una transferencia a una cuenta propia.
Final medianamente feliz
Como comenté allá arriba, un empleado de fraudes bancarios desconfió. Investigó. Hasta identificó a dónde había ido a parar el dinero, y cómo se había gastado.
Le devolvieron el dinero a su cliente (total, el seguro paga) y tiempo después la policía australiana informó que los pájaros habían volado fuera de la isla.
Moralejas variadas:
—->Desde que se inventó algo tan peligroso como ponerles cartelitos a las fotos de Facebook (por nombrar uno de mil peligros) ya es muy difícil saber qué parte de nuestros datos familiares están al alcance de menos de mil personas.
—->Parece que este Señor Australiano hacía home banking desde la laptop que le dio la empresa, máquina que como todos imaginamos, andaba de un lado para el otro; y que usaba la misma contraseña para el banco y para su correo personal… Pero que no le importaba, ya que confiaba en el sistema de los SMS del banco.
—->Hecha la recontraautenticación, hecha la trampa
—->¿Por qué será que me sigue encantando hacer trámites bancarios personalmente?