Es viernes por la tarde. Suena mi celular, contesto y del otro lado de la línea se presenta un falso ejecutivo de Banco Santander, saludándome por mi nombre. Luego, valida mi identidad mencionando mi RUT, sin errores.
Me explica que existen devoluciones de costos de mantención por los altos costos del plan de cuenta corriente —lo que parece verídico, puesto que la mayoría de los planes con acreditación de renta en el Santander oscilan entre los $7.700 y 19.100—, y se pasa a detallar una serie de montos que se devolverán por distintos conceptos. Habla mejor que otro estafador telefónico… como si lo hubiesen elegido en un casting.
Sin embargo, el objetivo de la llamada no es ese, sino algo bastante más maligno: lograr un cambio de clave que solicita el delincuente a través de la web (basta tener el RUT de cualquier persona para hacerlo) y enviar la notificación a la app Santander Pass para que el cliente la autorice. Posteriormente, se apodera del acceso a la cuenta para realizar transacciones.
Estos son los últimos dos minutos de mi conversación por teléfono (pueden reproducir mientras siguen leyendo):
De tanto en tanto, mi interlocutor al otro lado de la línea me recuerda que nunca debo dar claves de manera telefónica, al igual como lo hace el banco regularmente en sus mails.
Se citan números de ley, se mencionan nombres de otros bancos (BBVA incluido, que ya no opera en Chile) e incluso habla del denominado “Caso La Polar”, por las repactaciones unilaterales. Además, me adelanta que pronto bajarán la tasa de interés para crédito de consumo e hipotecario.
Santander Pass: el método del olvido de la clave
El delito se intenta consumar cuando se le envía una notificación push al usuario:
Entonces, el cliente de Santander ingresa a la aplicación Santander Pass y se encuentra con una autorización de una transacción, que no es por un monto de dinero, sino para activar una clave.
En un tamaño de fuente relativamente pequeño (considerando el tenor de la transacción y la cantidad de información en pantalal) dice “Activa tu clave”. Nada de advertencias, pop ups o mensajes que advirtieran del peligro inminente que podría desencadenar autorizar esta operación.
Lo que ciertamente el falso ejecutivo intentaba hacer era cambiar de clave para las plataformas digitales. Basta con ingresar al sitio web de Santander, ir a la opción de olvido de la contraseña e iniciar el proceso, ingresando el RUT y luego se le pide poner dos veces la nueva contraseña, sin otro método de validación. Inmediatamente, se dispara una notificación push si es que el cliente tiene Santander Pass habilitado.
De autorizar y cumplir con los criterios como mayúsculas, minúsculas, números y símbolos, la modificación queda inmediatamente realizada. En algunos otros bancos, antes de ese paso, se solicita alguna clave de cajero automático, el PinPass o algún otro dato sensible que permita validar su identidad.
El problema es aún mayor por la confusión que genera respecto de las circunstancias donde habitualmente se solicita validar con Pass.
Actualmente, Santander verifica la identidad del cliente en algunas llamadas al Vox justamente a través de la app Pass, enviando una notificación. Por lo mismo, nadie se imagina que es tan fácil llegar y mandar una notificación de la aplicación sin haberlo solicitado, lo que le da más verosimilitud a esta interacción telefónica.
La respuesta de Banco Santander
Desde Banco Santander explicaron que “estamos constantemente realizando acciones y tomando medidas que permitan concientizar a nuestros clientes sobre la importancia del cuidado y protección de los datos personales y bancarios, para así prevenirlos de ser víctimas de fraudes, estafas o engaños por parte de terceros”.
La entidad señaló que ofrece una sección informativa sobre ciberseguridad en su sitio web, donde se explican cuáles son los fraudes y estafas más comunes, y se entregan consejos para prevenir engaños. También existe un curso online gratuito para identificar mensajes sospechosos, construir contraseñas seguras y mantener protegidas las apps.
En ese sentido, recomendaron nunca autorizar transacciones que no se han solicitado, no autorizar ni entregar información a nadie que llame por teléfono —incluso si asegura ser ejecutivo del banco— y que en caso de que sea el cliente quien llama al Vox, no existe riesgo.
Opinión: Se requiere más iniciativa de los bancos
Los bancos podrían ser más proactivos y más explícitos respecto de las transacciones que están autorizando sus clientes. La experiencia de usuario (UX) y la comodidad nunca pueden estar por sobre la seguridad.
Si un cliente está cambiando su clave, se requieren mayores controles, así como advertencias (podría ser un popup) que mencione algo como: “No autorice esta transacción si lo llamaron por teléfono”.
Los bancos en Chile también tienen responsabilidad en este tema. No se trata solo de hacer campañas a través de posts que muchas veces pasan inadvertidos en las redes sociales o correos que se pierden en un mar de mails promocionales que la misma entidad envía con promociones.
La educación financiera en materia de seguridad con nuestras cuentas, tarjetas y contraseñas también deben evidenciarse durante los distintos flujos y trámites más sensibles.
Mal que mal, con la ley actual, el fraude muy probablemente lo habría terminado pagando el banco. Pienso en un cliente de 60 o 65 años... dudo que constituya dolo o culpa grave el ser víctima de una situación como esta, porque la posibilidad de cometer un fraude está (prácticamente) servida en bandeja.
Debe estar conectado para enviar un comentario.