Tres historias que ilustran el drama detrás de los hackeos bancarios

En 2022 el Banco República registró 1.200 denuncias por transacciones no reconocidas y ahora un grupo de 70 víctimas demandará al banco

Compartir esta noticia
Daniela Tur, Adriana Coello y Paula Montelongo fueron estafadas por hackers.
Daniela Tur, Adriana Coello y Paula Montelongo fueron estafadas por hackers.
Juan Manuel Ramos/Archivo El Pais

Este contenido es exclusivo para nuestros suscriptores.

Por Karen Parentelli

Daniela Tur prendió su computadora para saber exactamente qué dinero tenía en su cuenta bancaria. Era el 11 de mayo de 2022, una fecha que ya nunca podrá olvidar. No sabe cómo sucedió pero un virus conocido popularmente como “troyano” fue instalado en su computadora, y es señalado como la herramienta que un grupo de hackers usó para robarle todo el dinero de la caja de ahorros, dejándola sin un peso.

Su caso no es único: es una de los más de 500 clientes del Banco de la República Oriental del Uruguay (BROU) que fueron estafados el año pasado. Claro que esto no solo afecta al BROU, la banca privada también presenta problemas similares. Según los especialistas consultados para este informe, el poco dinero en efectivo que está en circulación y el auge de las transacciones digitales generaron el aumento de estos ciberdelitos, que no necesitan de un gran grupo de personas ni tampoco de programas informáticos sofisticados para ser llevados a cabo: ejecutarlos es más simple de lo que podría pensarse.

¿Cómo fue que una joven de 26 años, con formación terciaria y casi nativa digital, fue estafada? Con la laptop encendida Daniela abrió el navegador web e ingresó a la página oficial del BROU. Entonces, saltó un cartel. Hasta entonces, nada le parecía extraño; siempre pagaba sus cuentas por la aplicación del banco sin inconvenientes.

“El cartel decía ‘actualización de página y sincronización de datos’. Y tenía una barra verde, que empezó a cargar, pero no le di bola; salí y fui a otra cosa y dejé la página abierta”, detalla Daniela. No tenía cómo saberlo, pero en ese momento estaba comenzando el hackeo, que le implicó perder todo el dinero que tenía ahorrado para vivir un año sin trabajar y poder así terminar la tesis de su carrera en Educación Social. Su vida se detuvo ese día, debió pedir dinero prestado y su salud mental sigue afectada hasta ahora, confiesa.

Cuando regresó a sentarse ante la computadora “todo pasó rapidísimo”. Así lo recuerda: “Vuelvo a la compu y dice ‘para finalizar actualización introduzca clave’. Dudé, pero estaba en mi computadora en casa, desde el link que ingreso siempre, porque lo tengo de favoritos en el buscador”. Y escribió su contraseña.

Cuando ingresó la clave se consolidó la estafa. “Se me cierra todo y vuelvo a entrar al mismo link de favoritos y veo el movimiento: una transferencia a otra cuenta del BROU. Llegué a leer el nombre del destinatario, un tal Juan Molina se había transferido 420.000 pesos, es decir casi 10.000 dólares. Y colapsé.”

Daniela Tur.
Daniela Tur.
Foto: Juan Manuel Ramos.

Llamó al BROU. Le recomendaron ir a una sucursal y también hacer la denuncia policial. Hacia allá fue en compañía de su novio. En menos de 10 minutos desde que se hizo la transferencia apócrifa estaban en la sucursal del banco, en el barrio Prado. Daniela nunca recibió una explicación formal de cómo perdió su dinero. Y además, ese día, a pesar de que llegó llorando y temblando, en la sucursal no recibió el mejor trato, opina. “Fue horrible, me querían hacer dudar. Me decían, seguro te llegó un mail o un mensaje de WhatsApp con un link. Después me hicieron dudar de que mi novio me había robado, un desastre la verdad”, dice Daniela.

Ahora integra un grupo de más de 70 personas, todas clientas del BROU, que fueron estafadas mediante diversos mecanismos. Juntas presentarán una denuncia contra la institución financiera, según informó El Observador y confirmó El País. Le reclaman más de medio millón de dólares.

Las modalidades de estafa pueden ser muchas. Hay correos electrónicos que llegan y simulan ser del banco; mensajes de WhatsApp que incitan a ingresar a un link para cambiar las claves; incluso a algunas personas les han sacado préstamos bancarios a su nombre. Los estafados coinciden en señalar al banco. Daniela pone en palabras el sentir de sus compañeros: “El banco se tiene que hacer cargo, al menos atendernos y decirnos qué pasó, cómo es que tiene, en mi caso, un “cliente mula”, porque mi plata fue a otra cuenta del mismo banco. Esa persona es real. ¿Cómo hizo para abrir una cuenta?”, plantea.

Para buscar una solución contrataron al abogado Hoenir Sarthou. “Se va a plantear la responsabilidad del banco por sus carencias en materia de seguridad y el reclamo será la reparación de los daños y perjuicios sufridos, o sea el reintegro del dinero sustraído de las cuentas”, dice. Estima que la audiencia de conciliación será en febrero y después presentará la demanda. El defensor está trabajando junto a un experto en seguridad informática.

La postura del banco.

Mariela Espino es gerenta general del BROU desde hace nueve años y siete meses. Contadora de profesión, conoce todos los rincones del banco, en el que comenzó a trabajar hace más de cuatro décadas, antes incluso de estudiar en la facultad.

“En el último año y medio empezó fuerte esto de los ciberataques. No solo acá, es a nivel mundial, y tiene que ver con la forma en la que se están dando ahora las transacciones bancarias”, dice Espino. El año pasado el BROU registró unas 1.200 denuncias de clientes por transacciones no reconocidas, tres veces más que en 2021. “La mitad se logró frustrar, es decir, la mitad en algún momento de ese proceso, antes de que se realizará efectivamente el desembolso, se logró frenar”, aclara.

Mariela Espino
Nota a Mariela Espino, gerente general del Banco Republica, en su oficina en Montevideo, ND 20221220, foto Francisco Flores - Archivo El Pais
Francisco Flores

¿Cómo trabaja el banco para prevenir estos delitos? “Tenemos un equipo grande de profesionales que siempre están trabajando y atentos a las nuevas modalidades de ciberdelitos. Trabajamos de una manera muy articulada con la Policía y la Fiscalía. Hasta hace unos años existían organizaciones criminales que se dedicaban a clonar tarjetas, poniendo dispositivos en los cajeros automáticos. En ese momento nuestra área de fraude trabajó en todo lo que era la prevención y el detectar cuándo se ponía un dispositivo y desactivarlo inmediatamente. Ahora esta modalidad no se da más, los delincuentes están buscando distintos mecanismos”.

Espino no duda en la calidad de la seguridad que tiene el sistema informático del banco. Si le preguntan, dice que todos los problemas se dan por fallas en los comportamientos de los clientes. “Tenemos una cantidad de elementos de seguridad que nos protegen ante intentos de ataques. Nunca tuvimos un incidente relacionado con temas de seguridad”, sostiene.

El senador oficialista Sebastián Da Silva fue uno de los legisladores que recibió a los representantes del grupo de los clientes estafados en la Comisión de Ciencia, Innovación y Tecnología. “Es terrible lo que escuchamos, y creemos que no puede ser que como clientes no tengan una respuesta acorde. Por eso es que resolvimos llamar a las autoridades del BROU, para que vengan a la comisión a dar una explicación”, dice.

Fachada del Banco Republica
Archivo El Pais
Archivo El Pais

Sin embargo, el banco todavía no ha recibido ninguna comunicación. Espino, la gerenta, afirma con tranquilidad que, cuando eso suceda, irán a evacuar las dudas de los legisladores, “porque no hay nada que ocultar.” El equipo de seguridad del BROU trabaja en conjunto con todas las entidades financieras, lo que para Espino contribuyó a que “la mitad de las maniobras fraudulentas pudieran ser detectadas a tiempo, y los clientes recibieran su dinero de vuelta.” Pero, de los 500 clientes estafados, muchos siguen esperando.

Ahondando en la operativa, muchas de las transacciones pudieron ser frenadas porque el banco congeló las cuentas de sus clientes víctimas y las de los “clientes mulas”, y así no se pudieron hacer las transacciones sospechosas. Los “clientes mulas” son personas que abren una cuenta en el BROU pero forman parte de la red de delincuentes, aunque son la punta más débil. Según supo El País, por operar cómo intermediarios se quedan con una parte mínima de lo robado.

De la misma forma se procede si se da con otros bancos. “Con la información podemos también solicitar a otras entidades bancarias privadas que hagan lo mismo”, explica la gerenta. Los casos exitosos son los menos conocidos, lamenta: “No son los clientes que salen en la prensa. Esos son los que de alguna forma entraron en un proceso que no se concretó y han logrado recuperar su dinero”.

¿Cómo atrapa el banco a los “clientes mulas”? Les solicita una justificación del ingreso de dinero, y en la gran mayoría de los casos no tienen cómo justificarlo, por eso lo devuelven. Y es ahí que el banco reintegra el dinero al cliente afectado.

PRUDENCIA.

Las tres claves centrales para evitar estafas.

El acceso al segundo paso de verificación es uno de los “puntos de infección”. Según explica la economista Bárbara Mainzer, integrante de la Asociación de Bancos Privados del Uruguay, “los atacantes se hacen del segundo factor de autenticación por una llamada telefónica. Primero les roban las credenciales al cliente: el usuario y la contraseña. Y luego, cuando están listos para hacer la transferencia, lo llaman por teléfono haciéndose pasar por el banco y le dicen que van a recibir un número que deben pasar al banco para confirmar su identidad.”

Otro modo es el hackeo usando el mail del cliente. Le roban las credenciales de acceso al banco y el acceso a la casilla de correo. Y cuando van a hacer una transferencia y el token llega al correo del cliente, el atacante tiene acceso a él y lo toma.

Entre los especialistas, coinciden en que hay tres claves para evitar convertirse en víctima de los hackeos bancarios. Primero, hay que tener claro que las instituciones bancarias jamás solicitan por ningún medio contraseña, información sobre tarjetas de crédito, débito o tarjetas prepagas; ni los códigos generados por la llave digital o el token.

En segundo lugar, se debe considerar que antes de iniciar la sesión en la página del banco para ingresar a operar, se debe confirmar que la dirección web sea efectivamente la correcta. Para no dejarse engañar, es necesario corroborar la dirección que aparece en la barra del navegador.

Por último, en ningún caso se debe acceder a la cuenta bancaria desde links que llegan incorporados en correos electrónicos o mensajes -ya sea de texto como WhatsApp- por celular.

Mariela Espino, la gerenta general del BROU, plantea que si bien el banco tiene su propia seguridad para prevenir ciberataques, también es necesario, siempre, que los clientes cuiden su información personal.

“El banco nunca va a solicitar ningún dato, ni por correo, ni por ningún otro medio. Muchas veces hemos visto mecanismos donde hay llamadas telefónicas con urgencia y amenazas, donde estos delincuentes se hacen pasar por funcionarios del banco”, advierte.

El año pasado, el BROU registró unas 1.200 denuncias por transacciones no reconocidas. “La mitad se logró frustrar, es decir, la mitad en algún momento de ese proceso, antes de que se realizara efectivamente el desembolso, se logró frenar”, dice Espino.

Espino plantea que siempre es necesario que los clientes cuiden su información personal. “El banco nunca va a solicitar ningún dato, ni por correo, ni por ningún otro medio. Muchas veces hemos visto mecanismos donde hay llamadas telefónicas con urgencia y amenazas, donde estos delincuentes se hacen pasar por funcionarios del banco.”

El procedimiento para realizar una transacción desde el BROU implica un doble paso de seguridad. Primero el cliente ingresa su contraseña y luego el número de la llave digital. ¿Cómo es entonces que los delincuentes consiguen el segundo elemento? “La llave digital la tiene el cliente verdadero en su celular. El intruso se apodera de la máquina del cliente y la deja bloqueada. Le solicita para supuestamente desbloquear el usuario, la contraseña y el número que le indica la llave digital y toma todo eso para realizar en simultáneo una operación válida (con usuario, contraseña y segundo factor de autenticación correctos), en la ventana de tiempo, de segundos apenas, que demora el número generado por la llave digital”, explica Espino.

Por cuentas asociadas.

Paula Montelongo se enteró de que le habían sacado el dinero de su cuenta recién al otro día. Perdió 145.000 pesos. Su caso es más complejo, porque los estafadores contactaron antes a su escribana como parte del estratagema. La escribana chateó por WhatsApp con los delincuentes pensando que se escribía con su clienta.

Fue así: “Veo que hay una transferencia a la cuenta de mi escribana, la llamo y le digo que no mande ese dinero a ninguna cuenta porque yo no le había hecho esa transferencia. Entonces ella me dice: pero si hablamos ayer, vos me dijiste que te habías equivocado y que te lo enviara a otra caja de ahorro. Me quedé helada”, dice Paula.

Los delincuentes habían tomado una foto de Paula de una red social y le enviaron un mensaje de WhatsApp a su escribana diciéndole que había cambiado de número, que borrara el anterior y que le hiciera el favor de volver a transferir ese dinero.

“Cuando ella me manda toda la información de los WhatsApp, y veo todo un diálogo y los horarios, no podía creer. Ella asumió que era yo, mantuvieron un diálogo y cuando vieron que ya había entrado, le mandaron el dinero de mi cuenta a la suya, y después es que le dicen del supuesto error. Nunca le mandaron mensaje de audio ni mucho menos la llamaron, fue todo por escrito”, relata Paula.

Paula se hace muchas preguntas. ¿Cómo los estafadores consiguieron el celular de su escribana? ¿De qué manera se hicieron de su usuario y contraseña de e-BROU para poder hacer la transferencia a la cuenta de su escribana? Y también: “¿Cómo es que el banco tiene sistemas de seguridad que permiten que estas cosas pasen?”, plantea.

Paula Montelongo.
Paula Montelongo.
Foto: Juan Manuel Ramos.

Este es uno de los métodos más sencillos para los delincuentes, el de girar el dinero a una cuenta asociada. Porque los estafadores no necesitan el segundo paso de verificación, la llave digital, para concretar el robo.

“Lo que siempre tenemos que pensar es que ellos tienen todo el tiempo del mundo. Y lo otro es que tiran muchas líneas, capaz mil, y con que uno caiga ya está“, dice del otro lado de la pantalla el ingeniero Gustavo Guimerans, gerente general del Centro de Ensayos de Software de la Universidad de la República.

Este método puede ser hecho por personas que no tengan formación profesional en Software. “Te diría que buscando en internet, es básicamente seguir ciertas pautas. Hay casos en los cuales hasta un niño puede terminar haciéndolo”, explica Guimerans para dar una noción de la poca dificultad.

Para el ingeniero es importante tener activos antivirus de calidad y ser cautelosos con las páginas a las que se ingresa y lo que se descarga. Aunque deja en claro que “nadie, incluso yo, está libre de que le pueda suceder algo así. Capaz me bajo una película, o un archivo para usar un programa y dentro de esta descarga también viene el troyano -el virus que atacó la computadora de Daniela-, que luego funciona como una especie de doble pantalla: vos ves algo, pero por detrás están haciendo otra cosa”.

Los mails truchos.

Lo que le pasó a Alicia Coello es uno de los casos más comunes: un mail que copia la estética del BROU la hizo caer en una estafa, que le ocasionó una pérdida de sus ahorros, pero también causó un cambio en su vida.

“Al principio la verdad es que me daba vergüenza, me sentía una boluda, una vieja que cayó. Pero después con el tiempo me empecé a dar cuenta de que no era así. Ahora este tema copó todo”, dice Alicia.

Ella logró recuperar parte del capital que le estafaron, pero en su caso el banco tampoco le dio una explicación de cómo eso ocurrió.

Lo cierto es que Alicia se enojó mucho, dice que hizo “levantar los techos” con los reclamos, que no está conforme y está lejos de quedarse quieta. “Esto no es algo que solo me pasó a mí, somos muchos y además se sigue sumando gente, nadie está libre”. Con 76 años a cuestas y jubilada, está convencida de que va a llegar a una solución.

Alicia Coello.
Alicia Coello.
Foto: Juan Manuel Ramos.

“Fui 25 años jefa de la secretaría del Fondo Nacional de Recursos. También trabajé en la secretaría del Ministerio de Economía, alguna idea tengo, no soy tarada como para que me manden un mensaje genérico y me digan 'fue su culpa señora', así livianamente como quien te invita a tomar un café”, le recrimina al banco.

En el grupo de estafados hay personas de todo el país -describe-, muchos son profesionales universitarios, hay jóvenes y también hay jubilados.

El día de la estafa, luego de hacer la denuncia en el banco y ante la Policía, sus cuentas quedaron bloqueadas, pero mientras esto sucedía le hicieron una segunda estafa.

“Me llaman del banco y me preguntan, ‘señora, ¿usted hizo una transacción de 3.500 dólares. Y yo digo, ¿cómo voy a hacer una transacción si tengo la cuenta bloqueada? Así me enteré”, recuerda.

La segunda estafa no llegó a afectarla, porque recuperó el dinero. “No pude entender lo que pasó, además el banco jamás me justificó ese ingreso. Esos últimos 3.500 dólares volvieron a mi cuenta. Pero los primeros 6.000 que me sacaron, no. Me dijeron que el error había sido mío y no del sistema del banco. Por eso queremos denunciar la negligencia.”

¿Y qué pasó con la denuncia policial? “Hice la denuncia en la seccional 11°, todo bárbaro y la pasaron directamente a Delitos Informáticos. Tanto es así que al otro día de mañana me llaman de Interpol y me dicen que justo habían agarrado a cinco personas. Los encontraron in fraganti sacando la plata de una cuenta de Mi Dinero, que después giraban al exterior”. Los investigadores le revelaron que eran ciudadanos extranjeros.

Y quedó ahí.

Para este grupo conseguir una respuesta del banco se ha convertido en una tarea compleja. “Hemos intentado de todo. Con Mariela Espino probamos a localizarla a través de su correo institucional porque nos dicen que es la única forma, pero nunca nos respondió. Hemos tratado de llamar por teléfono y te van pasando de persona en persona, hasta que se corta”, dice Alicia.

Ahora solo confían en el camino de la judicialización. Mientras este proceso avanza, desde su despacho, la gerenta Espino termina la conversación afirmando: “El banco se preocupa y se ocupa, trata de ayudar a los clientes para que esas maniobras no se concreten.”

OPERATIVA.

Préstamos falsos a nombre de clientes.

La página del BROU ofrece a sus clientes préstamos online. Entre los clientes estafados, algunos están pagando préstamos que sacaron apócrifamente a su nombre. Hay jubilados con más de un préstamo y también hay jóvenes en actividad laboral que no lo solicitaron pero tendrán que pagar por años las cuotas. Esto le pasó a Enrique Permuy, al que le vaciaron su cuenta y además le sacaron un préstamo a su nombre. Pese a sus reclamos al banco, todos los meses le descuentan la cuota. “Me la descuentan de la jubilación. El préstamo lo hicieron por 500.000 pesos y lo financiaron en cinco años. Es decir, debo pagar 60 cuotas de 16.000 pesos. En total pagás 1 millón de pesos, el doble de lo que te dan”, dice Permuy.

¿Encontraste un error?

Reportar

Temas relacionados

premium

Te puede interesar