Logo800

tarjetas de débito

ASFI reconoce “ataque de fuerza bruta” a tarjetas de débito del Mercantil Santa Cruz

Publicado el martes 17 de diciembre de 2024 y actualizado el 2 de enero de 2025.- Los débitos no autorizados que sufrieron este año clientes del Banco Mercantil Santa Cruz (BMSC) fueron causados por “un ataque de fuerza bruta dirigido a través de comercios fraudulentos”, reveló la Autoridad de Supervisión del Sistema Financiero (ASFI). La reguladora proporcionó la información a Guardiana el 29 de noviembre, un día después de que este medio publicara un reportaje titulado Hermetismo institucional frente a problemas de seguridad en tarjetas de débito. ¿Qué pasó? Gente que no había hecho determinadas compras con su tarjeta de débito, de pronto advirtió que le faltaba dinero por supuestas adquisiciones que aseguraba no haber realizado. En uno de los casos, la víctima identificó con sorpresa 48 pagos no reconocidos por un total de 6.734,38 bolivianos. Eran “consumos no reconocidos a través de compras por internet en plataformas digitales del exterior” que se hicieron públicos en abril pasado. Juan Fernando Rocabado, abogado de una de las víctimas y uno de los principales iniciadores de un movimiento que logró organizar vía WhatsApp a 1.000 posibles afectados en Santa Cruz, a 200 en Cochabamba, a 150 en La Paz y a 50 en Tarija, contó que ni el Banco Mercantil Santa Cruz ni la ASFI dieron antes, durante o después de los ciberataques una explicación clara sobre lo ocurrido. Esto fue corroborado por Hugo Miranda, oficial de Economía Digital de la Fundación Internet Bolivia (FIB), un experto en tarjetas electrónicas de la banca y otros afectados. En el caso del Banco Mercantil Santa Cruz, “el problema se originó en un ataque de fuerza bruta dirigido a través de comercios fraudulentos”, informó la ASFI, en respuesta a un cuestionario enviado por Guardiana el 5 de noviembre. Este método de piratería informática “consiste en intentos masivos y sistemáticos para identificar números de tarjetas válidos de la entidad, con el propósito de realizar transacciones no autorizadas a través de plataformas digitales”, explicó la reguladora, después de subrayar que “no existió hermetismo alguno respecto a la información solicitada mediante cuestionario” y que la demora en la respuesta obedece a las diversas tareas que la institución realiza. “Los ataques de fuerza bruta son muy comunes y fáciles de realizar”, indicó Mauricio Sánchez, gerente de Ciberseguridad de Every TI y coordinador del Centro de Ciberseguridad de Bolivia. Sánchez explicó que este tipo de ataques pueden concretarse principalmente a través de dos vías: con pruebas secuenciales para identificar los números de las tarjetas a través de plataformas comerciales que no cuentan con las medidas de seguridad necesarias y por medio de una filtración de números de tarjetas desde algún sector operativo a cargo de la seguridad de esos datos. “Incluso en la Deep Web hay páginas que venden lotes de tarjetas que podrían ser de cualquier banco””, expresó. Rocabado y otros afectados van más allá, pues sostienen que llegaron a identificar datos de lotes de tarjetas a la venta en grupos de Telegram, información que incluye el nombre del propietario, el número de la tarjeta y su código de seguridad. “Una de las cosas que se hace en estos casos es comprar (la información de) algunas de esas tarjetas, para ver si están dentro de los lotes asignados al banco y si se tiene alguna filtración”, apuntó Mauricio Sánchez, quien trabajó en la Unidad de Investigaciones Financieras y es asesor de ciberseguridad y riesgo operativo en la banca. UN ANÁLISIS EXHAUSTIVO Tras manifestar su compromiso con la transparencia y el derecho a la información, la ASFI reportó también que, durante abril y mayo de este año, el Banco Mercantil Santa Cruz “realizó un análisis exhaustivo de las transacciones sospechosas, lo que permitió determinar el número de personas afectadas y el valor de las transacciones no reconocidas, resultado de lo cual se implementaron acciones correctivas pertinentes, de manera inmediata”. Fruto de este proceso, el Mercantil, que tiene más de 1 millón de clientes activos, informó que el “0,0069% del total de las tarjetas de sus clientes fueron afectados por estas transacciones”. No se precisó si se trata sólo de las tarjetas de débito o de todas sus tarjetas electrónicas. La ASFI puntualizó que ese banco “asumió la responsabilidad completa y llevó a cabo la devolución íntegra de los montos a todos los clientes afectados”. Lo ocurrido en el Banco Mercantil Santa Cruz precedió a cambios técnicos al interior de ese banco, indicó Rocabado. Una vez que se comenzó a devolver el dinero perdido en consumos no reconocidos (esto ocurrió el 3 de mayo), la entidad eliminó la prehabilitación de sus tarjetas de débito; cerró el sistema de tarjetas y de compras por internet por aproximadamente una semana, alegando que se estaba “modernizando su sistema de seguridad” y bloqueó las transacciones en páginas web de comercios observados. “Empezaron a hacer cosas que antes no hacían. Ahora, por ejemplo, mandan mensajes SMS al celular o llaman (al cliente) para preguntar si están haciendo esa transacción”, detalló el abogado. De acuerdo con Nicole Sánchez, coordinadora de Protección de Datos de la FIB, el ajuste o reestructuración de sistemas o procesos vulnerados “lleva de 6 a 12 meses”, dependiendo del tamaño de la institución. “Es un trabajo minucioso que tiene que ver con la detección, prevención, cambio de procedimientos, implementación de seguridad y medidas de contingencia”. PIRATERÍA INFORMÁTICA Ésta no es la primera vez que los bancos bolivianos afrontan ataques cibernéticos. El 23 de mayo de 2022, RedTiseg publicó en su sitio web el artículo “Ransomwere (secuestro de datos) en Bolivia”, que indicaba que “las entidades financieras bolivianas” sufrían ese tipo de ataques. En un segundo artículo difundido esa misma fecha, la empresa de ciberseguridad informó que “una organización boliviana está siendo atacada más de 1.500 veces por semana en los últimos seis meses”. “El ransomwere, que principalmente entra por el pishing, ha estado impactando bastante en los últimos años a distintas entidades, no sólo del sector financiero”, reconoció Mauricio Sánchez. En respuesta a estos ataques –según RedTiseg– la Comisión Técnica y de

ASFI reconoce “ataque de fuerza bruta” a tarjetas de débito del Mercantil Santa Cruz Leer más »

Hermetismo institucional frente a problemas de seguridad en tarjetas de débito

La madrugada del 2 de febrero de este año (2024), mientras Lucía dormía, le descontaron 1.800 bolivianos de su cuenta bancaria debido a dos “consumos no reconocidos”. Ella no se percató de esas transacciones hasta las 10:20, cuando no pudo pagar por un servicio con su tarjeta de débito. Su saldo era insuficiente. Ese 2 de febrero también empezó el calvario de idas y vueltas de Lucía, de reclamos y de respuestas del Banco Mercantil Santa Cruz (BMSC), que tres meses después resultaron en el reconocimiento de “transacciones no reconocidas” por parte de ese banco, ya que su caso no fue el único. Entre abril y mayo de este año, se conformaron grupos de afectados en WhatsApp en Santa Cruz (1.000 personas), Cochabamba (200), La Paz (150) y Tarija (50), muchos de ellos clientes del Banco Mercantil Santa Cruz. La respuesta oficial de lo que pasó aún no se conoce, pero testimonios de los afectados, datos y análisis de profesionales permiten concluir que la seguridad de los datos de un grupo de clientes del banco se vio comprometida. Y lo sucedido también permitió identificar debilidades de diferente tipo en el seguimiento y manejo de estas contingencias. La adecuada, oportuna y completa atención de esta clase de problemáticas es hoy imprescindible en un contexto de mayor uso de tarjetas electrónicas y de avance vertiginoso de la tecnología. Los ciberdelincuentes, por su lado, no se quedan atrás y van adquiriendo más conocimientos y destrezas para cometer delitos. Desde que comenzaron a operar con chips de seguridad, el número de tarjetas de débito aumentó en Bolivia de 2,34 millones en 2014 a 6,4 millones el año pasado. Las razones, la mayor cantidad de establecimientos y comercios que aceptan pagos a través de estas herramientas, la implementación de la tecnología contactless y de los dispositivos POS, y el creciente dinamismo del comercio electrónico, según un informe del Banco Central de Bolivia (BCB). En 2022, el 17% de los usuarios utilizaron estas herramientas para compras por internet, un porcentaje que va creciendo con el paso del tiempo, de acuerdo con encuestas de la Autoridad de Supervisión del Sistema Financiero (ASFI). ¿UNA BRECHA DE SEGURIDAD? “Podríamos estar viendo una brecha de seguridad dentro de la entidad bancaria o más”, apuntó Nicole Sánchez, coordinadora de Protección de Datos de la Fundación Internet Bolivia. El 5 y 8 de noviembre, respectivamente, Guardiana solicitó a la ASFI y al Mercantil Santa Cruz conocer las causas de lo que les ocurrió a clientes de ese banco en al menos cuatro departamentos del país, pero ni la entidad supervisora ni la empresa atendieron este requerimiento. La ASFI es una entidad del Estado que tiene entre sus responsabilidades velar por los derechos del consumidor financiero, por lo que las operaciones a través de medios electrónicos de la banca “deben cumplir las medidas de seguridad que garanticen la integridad, confidencialidad, autenticación y no repudio” (Art. 124, Ley 393). Todos los bancos, por su lado, están obligados por ley a ser transparentes. PAGOS A CUENTAS EXTRANJERAS Los dos débitos no reconocidos por un valor de 1.800 bolivianos del 2 de febrero no fueron los únicos que alarmaron a Lucía (nombre cambiado por solicitud de la víctima). Tras una primera revisión a sus extractos de cuenta, ella identificó con sorpresa 48 pagos no reconocidos por un total de 6.734,38 bolivianos. Estos desembolsos irregulares con su tarjeta de débito fueron realizados a sitios que ofrecen servicios premium como ChatGPT, Telegram y YouTube, pagos que hasta entonces no habían sido notados porque se trataba de montos menores y porque ella no revisaba sus extractos mensuales. Lo mismo sucedió, en general, con los otros afectados, que también reportaron débitos a cuentas extranjeras como Google, Uber y TikTok. A continuación, el detalle de transacciones no reconocidas de otro de los afectados: Juan Fernando Rocabado, abogado de Lucía, contó que el mismo 2 de febrero presentaron un primer reclamo ante el Mercantil Santa Cruz. Sin embargo, pese a que la tarjeta de su cliente estaba asegurada y “cubría fraudes de compras por internet”, la respuesta que recibieron no fue la esperada. Lo mismo pasó con la ampliación de reclamo que presentó el abogado el 9 de febrero, con el segundo reclamo del 15 de marzo y con el recurso ante la ASFI registrado el 22 de marzo. En ese interín y ya con dos rechazos del banco a su primer reclamo, el abogado Rocabado buscó en redes sociales a personas que hubiesen sufrido también este tipo de débitos, para hacer causa común y adjuntar esta información al recurso que luego presentó ante la entidad reguladora. Así se constituyó rápidamente el grupo de WhatsApp de Santa Cruz –el más numeroso (1.000 personas)–, en el que varios miembros llegaron a organizar una protesta ante la agencia del banco en el mall Las Brisas, en la capital cruceña. La movilización, efectuada el 29 de abril, hizo público el problema y llamó la atención de algunos medios. Esa misma fecha y mientras se organizaba una segunda protesta, esta vez en Cochabamba, el Mercantil reconoció “inconvenientes… causados por ciertas transacciones no reconocidas en plataformas digitales en el exterior” e informó que estaba atendiendo cada reclamo para proceder a la devolución “si correspondiera” a la brevedad posible. “Estos son eventos inusuales ajenos al banco, que están siendo atendidos con máxima prioridad”, aclaró. Esta respuesta difiere de la que ofreció dicho banco como respuesta al primer reclamo de Lucía (la carta completa se la puede ver más abajo): “…para evitar ser víctimas de transacciones fraudulentas, no deseadas o phishing, se pusieron anuncios preventivos en nuestra página web y redes sociales, exhortando a los clientes a tomar los recaudos necesarios que eviten ese tipo de eventos (…). Es importante mencionar que la diferencia de las transacciones no reconocidas…están siendo gestionadas a través de la compañía aseguradora. Al respecto, debemos aclarar que la responsabilidad de nuestra entidad se limita en, una vez recibida su comunicación, transmitir dicha información junto con la documentación de respaldo a la aseguradora…” (BMSC,

Hermetismo institucional frente a problemas de seguridad en tarjetas de débito Leer más »

Scroll al inicio