Banco Mercantil Santa Cruz

Publicado el martes 17 de diciembre de 2024 y actualizado el 2 de enero de 2025.- Los débitos no autorizados que sufrieron este año clientes del Banco Mercantil Santa Cruz (BMSC) fueron causados por “un ataque de fuerza bruta dirigido a través de comercios fraudulentos”, reveló la Autoridad de Supervisión del Sistema Financiero (ASFI). La reguladora proporcionó la información a Guardiana el 29 de noviembre, un día después de que este medio publicara un reportaje titulado Hermetismo institucional frente a problemas de seguridad en tarjetas de débito. ¿Qué pasó? Gente que no había hecho determinadas compras con su tarjeta de débito, de pronto advirtió que le faltaba dinero por supuestas adquisiciones que aseguraba no haber realizado. En uno de los casos, la víctima identificó con sorpresa 48 pagos no reconocidos por un total de 6.734,38 bolivianos. Eran “consumos no reconocidos a través de compras por internet en plataformas digitales del exterior” que se hicieron públicos en abril pasado. Juan Fernando Rocabado, abogado de una de las víctimas y uno de los principales iniciadores de un movimiento que logró organizar vía WhatsApp a 1.000 posibles afectados en Santa Cruz, a 200 en Cochabamba, a 150 en La Paz y a 50 en Tarija, contó que ni el Banco Mercantil Santa Cruz ni la ASFI dieron antes, durante o después de los ciberataques una explicación clara sobre lo ocurrido. Esto fue corroborado por Hugo Miranda, oficial de Economía Digital de la Fundación Internet Bolivia (FIB), un experto en tarjetas electrónicas de la banca y otros afectados. En el caso del Banco Mercantil Santa Cruz, “el problema se originó en un ataque de fuerza bruta dirigido a través de comercios fraudulentos”, informó la ASFI, en respuesta a un cuestionario enviado por Guardiana el 5 de noviembre. Este método de piratería informática “consiste en intentos masivos y sistemáticos para identificar números de tarjetas válidos de la entidad, con el propósito de realizar transacciones no autorizadas a través de plataformas digitales”, explicó la reguladora, después de subrayar que “no existió hermetismo alguno respecto a la información solicitada mediante cuestionario” y que la demora en la respuesta obedece a las diversas tareas que la institución realiza. “Los ataques de fuerza bruta son muy comunes y fáciles de realizar”, indicó Mauricio Sánchez, gerente de Ciberseguridad de Every TI y coordinador del Centro de Ciberseguridad de Bolivia. Sánchez explicó que este tipo de ataques pueden concretarse principalmente a través de dos vías: con pruebas secuenciales para identificar los números de las tarjetas a través de plataformas comerciales que no cuentan con las medidas de seguridad necesarias y por medio de una filtración de números de tarjetas desde algún sector operativo a cargo de la seguridad de esos datos. “Incluso en la Deep Web hay páginas que venden lotes de tarjetas que podrían ser de cualquier banco””, expresó. Rocabado y otros afectados van más allá, pues sostienen que llegaron a identificar datos de lotes de tarjetas a la venta en grupos de Telegram, información que incluye el nombre del propietario, el número de la tarjeta y su código de seguridad. “Una de las cosas que se hace en estos casos es comprar (la información de) algunas de esas tarjetas, para ver si están dentro de los lotes asignados al banco y si se tiene alguna filtración”, apuntó Mauricio Sánchez, quien trabajó en la Unidad de Investigaciones Financieras y es asesor de ciberseguridad y riesgo operativo en la banca. UN ANÁLISIS EXHAUSTIVO Tras manifestar su compromiso con la transparencia y el derecho a la información, la ASFI reportó también que, durante abril y mayo de este año, el Banco Mercantil Santa Cruz “realizó un análisis exhaustivo de las transacciones sospechosas, lo que permitió determinar el número de personas afectadas y el valor de las transacciones no reconocidas, resultado de lo cual se implementaron acciones correctivas pertinentes, de manera inmediata”. Fruto de este proceso, el Mercantil, que tiene más de 1 millón de clientes activos, informó que el “0,0069% del total de las tarjetas de sus clientes fueron afectados por estas transacciones”. No se precisó si se trata sólo de las tarjetas de débito o de todas sus tarjetas electrónicas. La ASFI puntualizó que ese banco “asumió la responsabilidad completa y llevó a cabo la devolución íntegra de los montos a todos los clientes afectados”. Lo ocurrido en el Banco Mercantil Santa Cruz precedió a cambios técnicos al interior de ese banco, indicó Rocabado. Una vez que se comenzó a devolver el dinero perdido en consumos no reconocidos (esto ocurrió el 3 de mayo), la entidad eliminó la prehabilitación de sus tarjetas de débito; cerró el sistema de tarjetas y de compras por internet por aproximadamente una semana, alegando que se estaba “modernizando su sistema de seguridad” y bloqueó las transacciones en páginas web de comercios observados. “Empezaron a hacer cosas que antes no hacían. Ahora, por ejemplo, mandan mensajes SMS al celular o llaman (al cliente) para preguntar si están haciendo esa transacción”, detalló el abogado. De acuerdo con Nicole Sánchez, coordinadora de Protección de Datos de la FIB, el ajuste o reestructuración de sistemas o procesos vulnerados “lleva de 6 a 12 meses”, dependiendo del tamaño de la institución. “Es un trabajo minucioso que tiene que ver con la detección, prevención, cambio de procedimientos, implementación de seguridad y medidas de contingencia”. PIRATERÍA INFORMÁTICA Ésta no es la primera vez que los bancos bolivianos afrontan ataques cibernéticos. El 23 de mayo de 2022, RedTiseg publicó en su sitio web el artículo “Ransomwere (secuestro de datos) en Bolivia”, que indicaba que “las entidades financieras bolivianas” sufrían ese tipo de ataques. En un segundo artículo difundido esa misma fecha, la empresa de ciberseguridad informó que “una organización boliviana está siendo atacada más de 1.500 veces por semana en los últimos seis meses”. “El ransomwere, que principalmente entra por el pishing, ha estado impactando bastante en los últimos años a distintas entidades, no sólo del sector financiero”, reconoció Mauricio Sánchez. En respuesta a estos ataques –según RedTiseg– la Comisión Técnica y de