OIJ: Funcionarios públicos y bancarios venden datos de clientes a estafadores

(CRHoy.com) Funcionarios públicos y bancarios venden bases de datos de clientes a las organizaciones criminales detrás de las estafas en las que miles de costarricenses perdieron su dinero.

Casos de ese tipo han sido identificados por el Organismo de Investigación Judicial (OIJ), en el marco de la persecución de esos delitos, según reveló en entrevista con CRHoy.com el jefe de la Sección de Fraudes de San José, Yorkssan Carvajal Aguilar.

"Hemos detectado desde bases lícitas hasta ilícitas. Ellos tienen la facilidad de comprarlas. Lamentablemente, algunos temas de corrupción en algunas entidades financieras y públicas han hecho que obtengan información por lo menos básica y general para poder iniciar el tema de la ingeniería.

"Una vez con esa información, ellos ya tienen una capacidad y han desarrollado una forma, un verbo y un léxico idóneo, para hacer creer a la persona, sumado a los datos básicos que tienen en su poder, que están en una situación real", explicó el funcionario.

Entre la información contenida en las bases de datos que la Policía Judicial ha encontrado, destacan, por ejemplo, nombres, números de cédula, correos electrónicos, números de teléfono y -el más importante- la entidad financiera asociada.

"Todos esos son los datos específicos que ellos necesitan. Obviamente basados en una llamada y en un buen verbo, en una buena práctica que han desarrollado, pues hacen creer a la víctima que se trata de algo real", abonó el vocero.

Ante la consulta de este medio, de si servidores públicos y bancarios han sido vinculados, respondió:

Correcto. Hay funcionarios de entidades financieras que hemos detectado y procesado. Entidades públicas en las que se han filtrado las bases de datos. Hay ahí un tema de huella digital, de trazabilidad, que se nos dificulta bastante poder llegar a los inicios.

De seguido se le preguntó sobre investigaciones o detenciones asociadas, a lo que Carvajal Aguilar se limitó a mencionar diligencias realizadas a finales del 2020 -sin precisar fechas- en los que se logró la captura de servidores vinculados a grupos que operaban desde centros penitenciarios.

El 11 de noviembre de 2020, el Organismo ejecutó 17 allanamientos por un caso de estafas telefónicas perpetradas desde el Centro de Atención Integral (CAI) Jorge Arturo Montero, en San Rafael de Alajuela. El operativo se extendió a fincas en Guatuso, Grecia y Heredia, con el objetivo de lograr 12 capturas, incluidas las de tres funcionarios públicos. Uno era un oficial de la Policía Penitenciaria, mientras que los restantes eran "mandos directivos" del penal.

A ellos, el director general de la Policía Judicial les atribuyó -en ese momento- haber facilitado supuestas acciones para que el líder de la banda, de apellidos Tencio Rodríguez fuera ubicado en ámbitos donde podía desenvolverse con libertad, permisividad y mediante el acceso a tecnología.

[leer-mas url="https://www.crhoy.com/nacionales/1-millon-y-%e2%82%a13-mil-millones-lo-estafado-con-timo-del-falso-empleado-bancario-en-un-ano/" caption="$1 millón y ¢3 mil millones: lo estafado con timo del falso empleado bancario en 2021″][/leer-mas]

Fenómeno creciente

El propio Yorkssan Carvajal Aguilar realizó el 28 de abril pasado intervino en el anuncio de una "alianza" con la Superintendencia de Entidades Financieras (Sugef) y la Asociación Bancaria Costarricense (ABC) para combatir las estafas.

Durante su presentación, el jefe de la Sección de Fraudes de la Policía Judicial dio a conocer que -para entonces- se habían recibido 1.709 denuncias.

Ello representa 53,79% del total de quejas recibidas en todo el 2021. Es decir, el número de denuncias superó en menos de cuatro meses la cantidad de quejas recibidas en los primeros seis meses del año pasado.

Asimismo, detalló que el perjuicio económico estimado causado por las estafas bancarias en 2022 asciende los ¢1.272.476.854 y $392.765. Esto equivale al 41,65% de la afectación producida en todo el 2021.

El año en curso estuvo marcado por una nueva modalidad, que explotó la clonación de sitios web oficiales ("phishing") mediante los cuales los ciberdelincuentes extraían información sensible de los clientes de bancos, que posteriormente usaban para entrar en sus cuentas en línea y sustraer los dineros en estas.

Lo anterior ocurrió -entre febrero y marzo- a través de las plataformas "híbridas" del Sistema Nacional de Pagos Electrónicos (Sinpe) Móvil, que no exigían un código de verificación para las transacciones.

Tal y como lo dio a conocer este medio en varios reportajes el mes anterior, la función "BN Sinpe Móvil" permitía realizar transferencias por hasta ¢200.000 diarios desde cuentas de esa entidad financiera hasta cuentas asociadas a teléfonos celulares, sin una comprobación adicional al usuario y la clave del cliente.

Carvajal Aguilar indicó ante consulta de CRHoy.com que esa modalidad había sido identificada en otros bancos, pero no precisó en cuáles.

En lo que va del 2022, se recibieron 533 quejas, el 31,07% de las denuncias planteadas en el año. Rápidamente, este tipo de estafa se convirtió en la más recurrente en la Policía Judicial, por encima de los timos del falso funcionario público o el bancario.

"Hubo una alza significativa en las denuncias en febrero y marzo. Esto se dio a raíz de unas páginas falsas de algunas entidades financieras que circulaban en los buscadores. Estas páginas se robaban el usuario y la contraseña. Con esa información, los estafadores podían realizar transacciones Sinpe.

"Luego de algunas investigaciones y el trabajo con algunas entidades financieras involucradas, se logró, por medio de la implementación de seguridad en tokens, OTP, códigos o claves dinámicas, la eliminación completa de esta modalidad delictiva", detalló el vocero.

Ante esta situación, el jefe de la Sección de Fraudes invitó a los usuarios a ingresar las páginas de sus bancos en la barra de dirección electrónica o por medio de las aplicaciones oficiales, evitando los buscadores.