Tras implementación de código de autorización para Sinpe, sitios falsos del BN cesaron
"Claramente el resultado de eso (reforzamiento de seguridad) es que en este momento las denuncias por transacción es cero", dice subgerente
(CRHoy.com) Los reportes de sitios clonados de la página oficial del Banco Nacional de Costa Rica (BNCR), mediante el cual, cibercriminales extraen las contraseñas de clientes para luego vaciarle sus cuentas, cesaron tras la implementación de un código de autorización como paso adicional para efectuar transferencias desde esa institución, hacia teléfonos vinculados con el Sistema Nacional de Pagos Electrónicos (Sinpe) Móvil.
Durante las últimas dos semanas, el mecanismo fraudulento de sustracción de información de los de la entidad financiera dejó de aparecerse, aseguró su subgerente general, Jaime Murillo Víquez, en entrevista con CRHoy.com.
La merma en los sitios falsos fue complementada con estadísticas brindadas por la oficina de prensa del banco ante una solicitud de este medio.
Este tipo de páginas, según la tesis del Nacional, están directamente asociadas con las cientos de estafas sufridas por sus clientes en -al menos- los últimos tres meses que están bajo estudio del Organismo de Investigación Judicial (OIJ), tal y como lo dio a conocer esta página de noticias el 6 de abril pasado.
La función explotada por los delincuentes es la denominada "BN Sinpe Móvil", disponible en la aplicación BN Móvil y la página de internet banking de la institución. La misma opera en el entidad financiera desde hace más de cuatro años.
Hasta el 20 de marzo pasado, la herramienta permitía realizar transferencias desde una cuenta del Nacional hacia un número celular asociado a otra, ya fuera en el mismo banco o en uno distinto. Para ello, únicamente se requería el nombre de usuario y la contraseña del cliente; lo que se denomina como "seguridad básica".
Los cibercriminales posiblemente se percataron de que el nivel de esfuerzo que tenían que hacer para poder sacarle plata a algunos clientes era relativamente ‘básico', porque solo necesitaban una seguridad del cliente; que si se quiere, era la más importante: su clave para poder entrar a las páginas transaccionales nuestras. ¿Cómo hago para adueñarme de esa clave? Empiezo a sembrar sitios falsos.
Jaime Murillo Víquez, subgerente general del Banco Nacional
Algunas de estas páginas utilizan interfaces parecidas o idénticas a la que tiene en la actualidad la institución; así como direcciones electrónicas similares a la oficial, que es www.bncr.fi.cr.
Sin embargo, cuando el usuario ingresa su información y da clic en el botón de "iniciar sesión", en vez de entrar al sistema, lo que hace es enviar la información a un delincuente, que usa los datos para entrar al sitio verdadero y efectuar las transacciones.
Estas transferencias tienen un tope de ¢200.000 diarios, por lo que los criminales aprovechan para hacer varios depósitos en diferentes días hasta vaciar la cuenta o hasta que el cliente se percata de los rebajos.
Reforzamiento de seguridad
El código de verificación para transferencias del "BN Sinpe Móvil" fue implementado el 20 de marzo anterior, de acuerdo con el subgerente general, Jaime Murillo Víquez. Desde entonces, cada vez que un usuario pretende hacer una transacción de este tipo, debe ingresar una especie de clave enviada a su correo electrónico o celular asociado.
Desde ese momento, tanto los sitios web clonados como las quejas por estafas cayeron a cero, según el vocero.
"Lo que dijimos es: tenemos que subirle el nivel de seguridad a la transacción. Necesitábamos subirle el nivel de seguridad precisamente porque ya identificamos los dos eventos que mencionaba, el aumento de páginas falsos y reclamos administrativos por estafas. Es así como en marzo le pusimos un doble factor de autenticación. Lo que hicimos fue que subimos el nivel de seguridad de esa transacción", explicó.
"Claramente el resultado de eso es que en este momento la cantidad de denuncias por esa transacción es cero", agregó.
Este medio solicitó al departamento de comunicaciones del Nacional la estadística desglosada por semana de quejas recibidas, pero este se limitó a responder: "El banco no lleva la totalización de reclamos que recibe en un período de tiempo determinado".
Murillo Víquez fue enfático en la entrevista en negar que la institución haya eludido en alguna oportunidad a su responsabilidad por los fraudes sufridos por sus clientes.
"La puerta no está cerrada, para nada, a que el banco valore cada caso, que es lo que estamos haciendo, y que lo resuelva de acuerdo con esa valoración. En este momento estamos en ese proceso. Recordemos que tenemos una ola importante entre febrero y marzo de reclamos que, en todo caso, posiblemente no todos están puestos todavía por parte del cliente, pero tenemos que ir a bajar la información de cada caso. Tenemos que ir a bajar la base de datos para empezar a analizar las transacciones, analizar las bitácoras donde entró o no, si hubo tokens o dobles factores de verificación de por medio, para verificar desde donde ingresó la persona, por ejemplo. El trabajo con cada reclamo es relativamente exhaustivo. Eso es lo que hacemos y en lo que estamos en este preciso momento.
"No hemos rehuido ni vamos a dejar de aceptar nuestra responsabilidad en el tanto y cuanto nos competa. Eso no se puede determinar hasta que usted no termine de valorar cada uno de los casos. Como eso está tan fresco, y el análisis de cada caso no lo puede hacer un robot, en eso estamos en este preciso momento", señaló.
Lo anterior a pesar de que el 30 de marzo anterior, la institución publicó un comunicado que indica: "El Banco Nacional reitera de manera clara y enfática que sus sistemas no han sido vulnerados, y estos eventos, lastimosamente, no se estarían dando si los clientes estafados no hubiesen entregado sus claves. Esto ha sucedido en todos los casos que hemos revisado".
Reiteradamente, la entidad financiera recordó la responsabilidad de sus clientes de resguardar claves, tokens, pines y códigos de seguridad.