Una historia que trascendió a través de la red social Twitter cobró notoriedad en las últimas horas. Es el caso de Elena Paoloni, quien denunció que utilizaron datos de su tarjeta de débito para asociarse a un sitio de pagos y por esta vía hacer extracciones a través de cajeros automáticos.
Paoloni, una redactora publicitaria, influencer y freelancer de 35 años, relató en su cuenta el proceder de ladrones que le extrajeron $6.000 de su caja de ahorro, a través de un cajero automático, y sin la necesidad de utilizar una tarjeta.
Bueno, acá estoy. Hoy estuve todo el día averiguando qué pasó con mi cuenta. Por qué me robaron plata. Y ahora ya lo sé. Quiero que no les pase a ustedes. Es medio largo esto, pero no es una pavada. Y tengo todo bien chequeado.
— Elena Paoloni (@elenapaoloni) 15 de enero de 2018
En una serie de mensajes por la red social, la joven contó paso a paso su experiencia: "Hoy entré a mi homebanking del Galicia para chequear si me habían pagado un freelo (obvio que no). Y veo Doce extracciones por cajero de 500 pesos. Ningún detalle más que ese. 6 lucas".
"Lo primero que hice fue gritar y llorar, y dar de baja mi tarjeta de débito, por teléfono, en Banelco. 5 minutos. Perfectísimo. Después fui a mi sucursal de Galicia a hacer el reclamo y ver qué había pasado", señaló.
Paoloni aseguró que fue bien atendida por el personal del Banco Galicia, sucursal Recoleta, aunque no le brindaron "información ni de la reemisión ni sobre en qué cajeros habían hecho las extracciones. Llenamos todos los papeles y me fui".
"Mientras hacía el trámite, le conté al muchacho que había visto que se había pedido una reemisión de mi tarjeta de débito y en el banco no me supieron explicar por qué. 'Te hackearon', fue la conclusión", agregó por Twitter.
LEA MÁS:
"Ciberengaños" y delitos en la red: ¿cuán vulnerable sos?
El Gobierno dispuso un "blindaje cibernético" en la AFIP para evitar filtraciones de datos
En esta línea, se replanteó: "Yo solo uso home banking en mi casa. ¿Cómo me habían hackeado? Seguramente entonces me habían clonado la tarjeta (aunque esto no explicaba la re emisión)".
"No me la podrían haber clonado en un cajero porque hace meses y meses que no uso (porque soy muy ahorrativa, chicos). Y si me la clonaban en un restaurant, ¿cómo sabían mi pin? ¿Mi clave alfanumérica?", se interrogó la joven.
Continuó: "Bueno, amigos, no pasó nada de eso. La reemisión fue default porque se me está por vencer la tarjeta, y para sacarme plata no necesitaron mi pin ni clonar mi tarjeta. Quiero contarles cómo fue para que no les pase".
¿Conocen Todo Pago? Es una billetera virtual que les permite pagar cosas, y, entre otras funcionalidades, SACAR PLATA DE CAJEROS SIN TENER LA TARJETA, A TRAVES DE LA GENERACION DE UN PIN QUE SE HACE DESDE LA APP.
— Elena Paoloni (@elenapaoloni) 15 de enero de 2018
El procedimiento del que fue víctima Paoloni se encuadra en lo que se conoce como "phishing", una modalidad delictiva practicada por "hackers", que consiste en obtener datos confidenciales, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima, para cometer fraudes o, como en este caso, extraerle dinero directamente de su cuenta bancaria, a través de un sitio de pagos o "billetera virtual".
"Para poder linkear la cuenta de Todo Pago a una cuenta de banco solo necesitas una tarjeta de débito o una foto de una tarjeta de débito, que la sacás con un celular en un segundo", agregó.
Bajás la app, te registrás con cualquier mail y ponés los datos de la tarjeta de débito. Y eso es TODO lo que hay que hacer. Eso me hicieron a mí. Usaron los datos de mi tarjeta de débito con un mail trucho. Miren qué fácil es. pic.twitter.com/tp9fyiPXPx
— Elena Paoloni (@elenapaoloni) 15 de enero de 2018
Paoloni aseguró que desde Todo Pago nunca le llegó ninguna notificación de que ella había recibido el alta del servicio, pues los delincuentes utilizaron su cuenta, pero introdujeron una casilla de mail ficticia.
Entré a mi homebanking a la parte de billetera virtual y descubrí que me habían linkeado mi tarjeta con este mail, que no es el mío. pic.twitter.com/nkD4BQK9XC
— Elena Paoloni (@elenapaoloni) 15 de enero de 2018
"Con todo linkeado, los cacos simplemente abren la app y generan PINs para sacar de a 500 pesos. En mi caso lo hicieron en dos cajeros de Lanús. (La app del Banco Galicia me dio este dato que no me pudieron dar en el banco)", detalló.
UN SISTEMA VULNERABLE
Paoloni señaló que no hubo verificación por parte de Todo Pago ni Banco Galicia para determinar si es el propio titular quien "linkea" la tarjeta a la billetera virtual o un delincuente. "Solo se fijan que sea una tarjeta válida que no esté linkeada a otra cuenta de Todo Pago", advirtió.
"Para que quede más claro, si pagaste un café y le diste tu tarjeta de débito a alguien, le pueden sacar una foto y usarla para una cuenta de Todo Pago. Te vas a enterar cuando entres a tu home banking y veas esto (divino y fácil gracias al rediseño, amo)", afirmó.
Para que quede más claro, si pagaste un café y le diste tu tarjeta de débito a alguien, le pueden sacar una foto y usarla para una cuenta de Todo Pago. Te vas a enterar cuando entres a tu home banking y veas esto (divino y fácil gracias al rediseño, amo) pic.twitter.com/co2xifHA4F
— Elena Paoloni (@elenapaoloni) 15 de enero de 2018
"Y si te pasa, entrás a "cuentas", billetera virtual y cuando trates de registrarte vas a ver que usaron otro mail pero que ya te registraron", remarcó.
No necesitaron mi PIN ni clonar mi tarjeta, solo una foto de mi tarjeta de débito
La joven profesional explicó que una manera de evitarlo el fraude es "hacerte una cuenta en Todo Pago y que no te puedan usar la tarjeta para otra cuenta. Otra es que Todo Pago y los bancos tengan un mínimo protocolo de seguridad".
Ponderó la atención de Todo Pago y la velocidad con la que actuaron. Además, la empresa se encargó de reintegrarle el dinero extraído. "¿Pero qué hacemos con un sistema tan fácil de vulnerar?", se preguntó.
"Y mientras tanto, les cuento esto para que se cuiden. Yo entro al home banking una vez por semana, y esto pasó en tres días. Me podrían haber sacado muchísima más plata", expresó, y acotó que tuvo "bocha de suerte porque en el banco Galicia, en Banelco y en TodoPago me atendieron re bien. Pero esto no puede seguir pasando. No dejen sus tarjetas de débito solas NUNCA", finalizó.
LA EXPLICACIÓN DE TODO PAGO
El abogado Juan Roza Alconada, gerente de relaciones institucionales de Prisma Medios de Pago, afirmó a Infobae que "el dinero ya fue reintegrado" y aseguró que "lo que pasó es un caso bastante aislado, pues ya tenemos más de 400 mil billeteras virtuales funcionando sin dificultades".
Roza expresó que la prioridad es "primero la seguridad y luego la funcionalidad", por cuanto se instó a "suspender esa funcionalidad para extraer dinero a través de un PIN" hasta aplicar controles más estrictos que "fijan estándares superiores". En principio, éstos consistirán en "exigir un alias de CBU, un dato muy personal" para la apertura de nuevas cuentas y "se va a pedir el CUIL, como una medida más", que aporta al umbral contra el fraude, si bien es posible acceder a esta clave por bases de datos públicas.
Prisma Medios de Pago está integrada por seis divisiones: tarjeta Visa, la red de cajeros Banelco, el sistema para cobros con tarjeta Lapos, y los servicios Todo Pago, Pago Mis Cuentas y Monedero.
La empresa decidió suspender temporalmente las extracciones con PIN y empezará a exigir alias CBU para nuevas cuentas
El directivo de Prisma explicó que "no se activó un sistema de funcionalidad de token, con un límite máximo de extracción por día, que es de 500 pesos. Ese límite no se ejecutó, por eso estuvimos reunidos con técnicos y gerentes para establecer los motivos del fallo, que hasta ahora nunca se había producido".
"Pasó algo insólito, y es que no funcionó el límite, que pone sobre aviso cuando se supera el monto, y por eso se pudieron hacer más extracciones de las permitidas. Y además, la mala suerte de que alguien tomó los datos de la tarjeta y la enroló con el número de DNI en el sistema", puntualizó.
Roza especificó que el sistema de billetera virtual "lleva un año y medio, y es de prever que a medida que más gente la vaya conociendo, haya quienes traten de hackear e intrusarlo".