Mujer pierde más de ¢4 millones en estafa telefónica; Popular rechaza reembolso

(CRHoy.com) Una servidora pública, vecina de Goicoechea, perdió ¢4.259.756 millones de sus ahorros personales en una estafa telefónica por la que el Banco Popular y de Desarrollo Comunal (BPDC), después de una investigación de dos meses y medio, rechazó hacerle un reembolso.

Ella recibió una llamada la mañana del 28 de julio de 2021, supuestamente procedente del teléfono 2202-2020, utilizado por la entidad financiera. Quien la llamó se identificó como un hombre de apellido Quesada, cuyo nombre sí pertenecía a un funcionario de la institución. El objetivo de la comunicación era hacer un disque cambio de tarjeta, según relató la mujer de 41 años a CRHoy.com.

La víctima enfatizó en su conversación este medio que en ningún momento brindó datos personales. Incluso recalcó que nunca se los solicitaron. Sin embargo, el perpetrador sí le dijo a la afectada su correo electrónico y lugar de trabajo durante la llamada. Esta situación -sumadas las múltiples advertencias de que no debía ingresar a enlaces sospechosos- hizo que la mujer sintiera confianza y que se mantuviera en la línea. Simultáneamente, su tarjeta sufrió transferencias ingresaran a su usuario en línea, hicieran transacciones desde sus cuentas vinculadas en el Banco Nacional de Costa Rica (BNCR) y Davivienda, para transferir $5.506 y ¢813.000.

"Cuando se terminó la llamada yo me di cuenta que tenía varios mensajes en el celular. Empecé a revisarlos y vi que eran mensajes pidiendo claves, de autorizaciones, que no podía entrar a mi e-mail, que había solicitado un cambio de contraseña. Entonces fue cuando llamé al banco e hice el reporte correspondiente. Ya en la noche, después de haber puesto la denuncia, con un poco más de tranquilidad, empiezo a revisar mi cuenta de Hotmail y ahí veo que desde donde ingresan es de un IP (abreviación en inglés de "protocolo de internet") de Nicaragua. Veo mejor los mensajes del teléfono y veo donde están pidiendo la clave o contraseña", contó.

La funcionaria presume que los estafadores tuvieron acceso remoto a su celular y vieron el código para cambiar la contraseña de su dirección electrónica mientras estaban en la llamada, lo que le impidió visualizar cualquier notificación de movimientos bancarios, al tiempo que dio acceso a los criminales a sus cuentas.

En total sustrajeron ¢4.259.756 millones, al tipo de cambio del día del hecho. Todo el dinero fue depositado a otro cliente del Popular, un nicaragüense de apellido Montiel, quien figura como sospechoso de fraude informático en la causa 21-017668-0042-PE, a cargo de la Fiscalía de Pavas.

La Sección de Fraudes del Organismo de Investigación Judicial (OIJ) recomendó el 31 de diciembre de 2021 -mediante su informe 3043-F-2021-CI- levantar el secreto bancario al sospechoso, "con el fin de acceder a la información privada de las cuentas involucradas y así poder determinar los eventos que dieron lugar al fraude respecto de la cuenta afectada y el destino de los fondos defraudados", se desprende del documento en poder de CRHoy.com.

Por lo anterior, el Ministerio Público citó a la víctima el 6 de junio de 2022, a fin de consultarlo si desea seguir adelante con el proceso o si prefería dejarlo de lado, considerando que las probabilidad de recuperar el dinero por la vía penal son prácticamente nulas. Sobre este particular, la víctima indicó que aún lo valora junto a su esposo.

Negativa bancaria

El caso en cuestión fue reportado ese mismo día por la víctima a las entidades financieras en las que tenía cuentas vulneradas. Tanto el Banco Nacional como Davivienda le comunicaron que, debido a que los rebajos se hicieron desde la cuenta del Banco Popular, esta era la instancia que debía investigar lo sucedido.

La División de Canales Electrónicos de la Dirección de Canales de la última de las instituciones emitió su resolución DCE-0744-2021 del 14 de octubre del 2021; 59 días después de que la Unidad de Prevención y Monitoreo de la División de Seguridad Bancaria emitiera su informe UPM-2009-2021.

"No se localizaron evidencias o indicios que permitan suponer que en los movimientos cuestionados haya mediado un aprovechamiento de una debilidad existente en los sistemas informáticos del Banco Popular, participación de alguno de sus funcionarios, o la utilización de algún recurso que no estuviese asociado a la discrecionalidad y tenencia del usuario y la contraseña de acceso a los canales digitales del banco y/o del correo electrónico asociado a dichos canales y registrado en los sistemas del banco, así como el acceso a los códigos de seguridad (PIN u OneTimePassword – OTP), pues el o los terceros responsables de dichos movimientos (atacantes) conocían perfectamente esa información necesaria para el acceso al sitio web transaccional y app Banca Móvil y por consiguiente, confirmar y autorizar las transacciones no reconocidas por el cliente, dado que según los registros de las bitácoras de auditoría de los sistemas del Banco Popular la información es consistente según los ingresos y actividad realizada en el canal digital, además de que para llevar a cabo esos hechos no medió violación a los procedimientos y la normativa imperante en el Banco Popular".

Conclusiones de resolución DCE-0744-2021

Producto de lo anterior, el jefe del área, Guillermo Vargas Acosta, rechazó "en todos sus extremos" el reclamo interpuesto por la ofendida al descartarse la responsabilidad de la entidad financiera. Asimismo, este instó a la perjudicada a incoar las acciones judiciales en contra de los beneficiados con los movimientos.

Contra esa resolución la afectada interpuso un recurso de revocatoria y uno de apelación. Ambas gestiones fueron rechazadas; la primera, en una resolución suscrita por el mismo Vargas Acosta, mientras que la segunda la firmó el director de Canales, Daniels Hidalgo Jiménez (DIRC-313-2021, del 7 de diciembre de 2021).

Esta ofendida además acudió a la Sala Constitucional y a la Defensoría de los Habitantes de la República (DHR). El recurso de amparo le fue rechazado de plano, mientras que el segundo no fructificó en el tanto que el caso permanecía en investigación en aquél momento.

El viernes 11 de junio, pasadas las 5:00 pm, el Banco Popular dio la siguiente respuesta:

[accordionset][accordionx heading='Descargo del Banco Popular']

De acuerdo con el caso por usted individualizado, efectivamente procedimos a efectuar una profunda investigación interna, de cuyos resultados ya hemos notificado a nuestra clienta, brindándole, como corresponde, todo nuestro respaldo, así como detallada y amplia información que arrojó dicho proceso; de igual forma, hemos manifestado y recalcado que estamos a las órdenes de las autoridades competentes – OIJ — para proporcionar toda la información necesaria que aporte para el esclarecimiento total.

Ya en detalle del caso que Usted cita, la indagación permitió confirmar que el mismo se incluye dentro de lo que a nivel judicial se denomina "falso funcionario bancario", modalidad de fraude que incluso fue así citada en la denuncia interpuesta por la persona afectada ante las instancias judiciales. Sin perjuicio de todo lo anterior, si la investigación judicial con respecto al posible ataque al dispositivo de uso y el correo de la víctima llegase a otra conclusión, como Institución estaremos atentos y siempre priorizando la tranquilidad de la clienta.

Hay que recalcar que en todos los casos que se someten a consideración, la indagación del Banco contempla una revisión exhaustiva de aspectos como:

• Se efectúan los descartes técnicos – mediante herramientas automatizadas y controles de seguridad – de que eventualmente se haya consultado de previo a la persona o sus datos (integridad de los datos), para descartar algún tipo de compromiso en ese sentido. En el caso del Banco Popular contamos con mecanismos de individualización muy precisos de posibles accesos a consulta de los datos de cada persona; en este aspecto, mantenemos un monitoreo constante.
• Igualmente, y muy relevante, se efectúan los descartes técnicos de que no se haya cambiado su clave y/o que no se haya modificado su correo, de manera tal que sea totalmente cierto que el usuario y contraseña fue el mismo que se ha utilizado por parte del cliente y que no fue variado.

En toda esta problemática nacional cabe también destacar que el Banco Popular dispone de un plan de gestión de seguridad de la información y ciberseguridad que define las principales estrategias para mitigar los riesgos relacionadas con estafas bancarias, estableciendo protocolos de actuación, campañas de comunicación y revisiones periódicas por auditorías internas y externas sobre los controles establecidos; asimismo, se mantienen iniciativas y la implementación de proyectos que le permiten fortalecer de manera constante los controles de seguridad de la información, para la protección de los recursos financieros de nuestros clientes.

Hay que recalcar que, como parte de todas nuestras campañas de información permanentes en esta materia, le recordamos y recalcamos a nuestros clientes que el Banco nunca le contactará telefónicamente, por correo o WhatsApp para solicitarle información sensible como usuario, clave o contraseña, correos electrónicos o códigos.

Además, a nivel del sector financiero nacional, somos parte de las iniciativas de prevención y apoyo a las autoridades en contra de la operación de los grupos que a nivel del país operan esta modalidad delictiva y generación de estafas.

Finalmente, reiterar que la prioridad y nuestra ocupación se abocó al proceso interno investigativo y a la colaboración con el OIJ para la indagación y resolución de este tema. La confianza y tranquilidad de nuestra clienta es la prioridad.  

: Descargo del Banco Popular AQUÍ[/accordionx][/accordionset]