BN reconoce que “seguridad básica” hizo su sistema más propenso a estafas

(CRHoy.com) El Banco Nacional de Costa Rica (BNCR) reconoció que la "seguridad básica" que mantenía hizo más propenso a estafas su sistema de transferencias desde cuentas de sus clientes hacia números de teléfono vinculados al Sistema Nacional de Pagos Electrónicos (Sinpe) Móvil.

Tan es así que, tras identificar una ola de sitios clonados de su página web oficial y de quejas administrativas de usuarios en febrero pasado, la entidad estatal implementó un código de verificación que se debe ingresar previo a cualquier transacción; siempre que el usuario no haya determinado un dispositivo exclusivo.

Así se desprende de una entrevista que CRHoy.com sostuvo este 19 de abril con el subgerente general de la institución financiera, Jaime Murillo Víquez.

"Llegamos a la conclusión de que posiblemente estos criminales, a pesar de que este tipo de transacción está viva desde hace mucho tiempo y no es nueva, posiblemente se percataron que el nivel de esfuerzo que tenían que hacer para sacarle plata a los clientes era relativamente ‘básico' porque solo necesitaban una seguridad del cliente, que si se quiere, es la más importante, que es su clave para poder entrar a las páginas transaccionales nuestras. Entonces, ¿cómo hago para adueñarme de esta clave? Empiezo a sembrar sitios falsos", explicó el vocero.

"Creemos que la ampliación de la medida de seguridad que hicimos claramente desincentivó a los delincuentes para seguir utilizando esta metodología. Algo se les ocurrirá, eso está clarísimo", complementó.

Murillo Víquez enfatizó que el nuevo tipo de fraude empezó a ser percibido dos meses atrás y que se concentra en la función de "BN Sinpe Móvil", disponible en la aplicación BN Móvil y la banca en línea del Nacional.

Esta transacción opera como una especie de "híbrido" de la plataforma habilitada por el Banco Central de Costa Rica (BCCR), en palabras del subgerente general.

Lo anterior porque, a diferencia de la última, el aplicativo toma el dinero desde una cuenta de la institución pública -por lo que hay que ser cliente de esta- y la traslada a otra asociada a un número de teléfono. El Sinpe Móvil, por su parte, hace las transferencias desde un celular asociado a una cuenta y lo traslada a otro, indistintamente del banco al que pertenezcan. Ambas plataformas tienen un tope de transferencias de ¢200.000 diarios.

La función comprometida tiene más de cuatro años en producción y es el transaccional más utilizado por los clientes del Nacional, de acuerdo con el vocero.

El funcionario además justificó que esta se mantenía -hasta el 20 de marzo pasado- con una "seguridad básica" -consistente en el nombre de usuario y su respectiva clave- en el tanto que fueron concebidas como transacciones de ejecución célere y efectiva, ya que surgieron como una alternativa al efectivo. Además, estás tienen un tope.

"Para nosotros es una transacción que venía siendo muy eficiente. Para este caso y situación particular, claramente, al darnos cuenta que los números evidenciaron que pareciera que los delincuentes la están utilizando, obviamente que lo que hacemos es que le ponemos más seguridades para que no siga pasando", manifestó Murillo Víquez.

"No hemos rehuido"

Murillo Víquez descartó que el Banco Nacional haya eludido a su responsabilidad por las estafas sufridas por sus clientes.

"La puerta no está cerrada, para nada, a que el banco valore cada caso, que es lo que estamos haciendo, y que lo resuelva de acuerdo con esa valoración. En este momento estamos en ese proceso. Recordemos que tenemos una ola importante entre febrero y marzo de reclamos que, en todo caso, posiblemente no todos están puestos todavía por parte del cliente, pero tenemos que ir a bajar la información de cada caso. Tenemos que ir a bajar la base de datos para empezar a analizar las transacciones, analizar las bitácoras donde entró o no, si hubo tokens o dobles factores de verificación de por medio, para verificar desde donde ingresó la persona, por ejemplo. El trabajo con cada reclamo es relativamente exhaustivo. Eso es lo que hacemos y en lo que estamos en este preciso momento.

"No hemos rehuido ni vamos a dejar de aceptar nuestra responsabilidad en el tanto y cuanto nos competa. Eso no se puede determinar hasta que usted no termine de valorar cada uno de los casos. Como eso está tan fresco, y el análisis de cada caso no lo puede hacer un robot, en eso estamos en este preciso momento", señaló.

Lo anterior a pesar de que el 30 de marzo anterior, la institución publicó un comunicado Que indica:

El Banco Nacional reitera de manera clara y enfática que sus sistemas no han sido vulnerados, y estos eventos, lastimosamente, no se estarían dando si los clientes estafados no hubiesen entregado sus claves. Esto ha sucedido en todos los casos que hemos revisado.

Reiteradamente, la entidad financiera recordó la responsabilidad de sus clientes de resguardar claves, tokens, pines y códigos de seguridad.

Por el fraude con la función "BN Sinpe Móvil", el Organismo de Investigación Judicial (OIJ) recibió 400 denuncias solo en San José, entre febrero y marzo pasado, tal y como lo dio a conocer este medio el pasado 6 de abril.