Cómo los bancos asumieron la tarea de enseñarle a sus clientes a no compartir sus contraseñas y tokens con desconocidos

Fue el delito que más creció durante el último año: 3000 por ciento subieron los accesos indebidos a cuentas bancarias durante la pandemia, según datos de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI). La mayoría eran usuarios que, engañados, entregaron sus claves y su token a los delincuentes, quienes les vaciaron de forma remota sus cuentas y además les pidieron un crédito preaprobado, por lo cual los clientes terminaron endedudados. Todo ese dinero fue luego a parar a cuentas de terceros. Sin embargo, la tendencia parece empezar a revertirse, al menos en el Banco Provincia, uno de los bancos públicos más importantes (tiene 6 millones de clientes).

“En agosto, que son los últimos datos que tenemos, tuvimos el número más bajo de los últimos doce meses”, asegura ahora el presidente de la institución, Juan Cuattromo. En julio, el Banco Central dispuso que las instituciones debían incorporar mayores verificaciones a la identidad, e incluso demorar la entrega de créditos. De hecho, hoy si las instituciones financieras no hacen el chequeo de identidad, tienen que asumir las consecuencias de las estafas. Todo esto parece haber tenido impacto directo. Aunque todavía hay muchos problemas.

-Gran parte de lo que pasó al principio, sobre todo en las quejas, era “el banco no me atiende, entonces busco otras formas de que me atiendan” y eso provocó o generó diferentes estafas...

-La pandemia también implicó en su administración un cambio en las herramientas con las cuales el banco se comunica y también una sobrecarga de los canales alternativos. Nosotros aumentamos nuestra cantidad de operadores, pero también pasa que un trabajador o trabajadora que atiende en un centro de atención bancaria tiene que tener un nivel de capacitación, porque te tiene que dar una respuesta respecto de una gama amplia de productos y servicios, y tiene que tener un conocimiento también de cómo funciona el banco, que eso lleva un tiempo para que además la respuesta sea satisfactoria. La gente tiene múltiples y diversos problemas ante el servicio del banco, que también es muy amplio y heterogéneo. Hay un tiempo de adaptación en la velocidad de respuesta, en generar canales alternativos, un chatbot y, por supuesto, en este tiempo todo lo que implica cuando una parte de la comunicación se canaliza a través de las redes, en un proceso que fue generalizado al sistema financiero. El primer gran desafío fue rápidamente incorporar la tarea pedagógica que tiene que tener el banco, como nosotros generábamos a través de todos nuestros canales esas capacitaciones y esos cursos de seguridad virtual, en tiempos donde la gente se estaba volcando masivamente a los canales alternativos

Según Cuattromo, el “peor mes” fue en abril de este año. Para el directivo, lo fundamental es “insistir y persistir hasta el cansancio, porque necesitamos que la gente lo entienda, que es como que alguien va a entrar a tu propiedad”, señala. “El banco tiene un mecanismo de autenticación de seguridad que es un token. El token lo tenemos en una aplicación distinta a la aplicación del home banking, eso es un doble factor de autenticación. Eso nos da mucha robustez en términos de seguridad, porque para que ocurra una estafa no solo hay que entregar la clave del home banking, sino que necesitas entregar la clave del token, que es otra aplicación distinta que también hay que instalar y validar en un cajero. La seguridad de la “puerta” es buena, está bien reforzada, es segura; pero si vos le das la llave a otro van a entrar. Entonces ahí apareció una segunda etapa de adaptación, donde también el Banco Central acompañó mucho desde el punto de vista normativo, que es la acción de mitigación del delito.”

-Aunque apareció tarde el Banco Central, recién en julio de 2021 aparecieron las medidas...

-Depende, porque estamos hablando en cuestiones de meses. Eso se dio en un proceso donde todos estábamos trabajando y adaptando nuestros mecanismos de seguridad y comunicación.

-Lo que era difícil era que alguien que nunca había sacado un crédito, de repente podía hacerlo, por un millón de pesos. ¿No había validaciones extra?

-En nuestro caso, lo comercial es subsidiario de lo que era sostener un servicio. Vos lo estás tomando desde el caso donde hay un estafa pero, por otro lado, si el porcentaje de estafas sobre los créditos que vos realizás no pasa de un porcentaje bajo, tenes un montón de personas que necesitan un crédito, que lo sacaron y que lo hacen de forma digital, en vez de tener que hacer un trámite personal y perder el tiempo. Por supuesto que hay que encontrar un equilibrio. Nuestra segunda etapa fue la de trabajar sobre la mitigación, que es mejorar nuestro sistema de alerta. Eso requiere un aprendizaje sobre un mundo que estaba cambiando. Una vez identificados qué mecanismos establecemos ampliamos el horario de atención en el call center, incorporamos botones que permiten a los operadores rápidamente bloquear operaciones, diferimos los plazos de acreditación. Lo que vas haciendo es mejorando las medidas de mitigación. Una vez que te diste cuenta que fuiste víctima de una estafa, por un tercero, no por el banco, por supuesto, cómo podés activar desde el banco que esa estafa no se materialice. Nosotros redujimos muchísimo las denuncias y, al mismo tiempo, el monto que efectivamente se llega a traducir en una estafa.

-¿Hoy ya no hay estafas?

-El dato de agosto fue el más bajo en los últimos 12 meses, y de las alertas emitidas solo el 10% son estafas efectivamente. De 271 millones de pesos transaccionados con alerta, 230 los retuvimos antes de que salgan. A través del sistema de alerta reducís la cantidad de denuncias y, además, bloqueás una parte importante de las transacciones. Una parte no menor de lo que vino en entender esta nueva dinámica era en tener una estrategia de mitigación y de alerta muy activa, que nos permita prevenir situaciones inesperadas. Eso es algo a lo cual nosotros hemos trabajado fuertemente. Lo que sí es importante es que después se haga un trabajo desde el Poder Judicial para detener a las bandas que inician los delitos. Todo lo que vos hagas es una mitigación ante una práctica delictual. Nosotros tenemos que poder sostener la operatoria, pero al mismo tiempo intentar garantizar la genuinidad de la operación. Hay una parte del delito de ingeniería social que hace que la persona voluntariamente esté accediendo a la transacción. Va al cajero y genera una advertencia de seguridad para que no le de el token a un tercero, ve eso y sin embargo lo ignora, se lo da a un tercero. La advertencia estaba frente a sus ojos. Por ejemplo, en redes sociales comunicamos masivamente que el banco nunca te pide un dato: después vienen los que hacen las estafas, miran quiénes siguen a la cuenta oficial del banco y les piden los datos. Si aparece cualquiera, por más loguito del banco que tenga y te pida un dato personal, está cometiendo una estafa. Ahora, ahí pasa algo, que es lo complejo de un delito de ingeniería social: cuando una persona voluntariamente accede a entregar las credenciales. Por eso es tan importante tener una buena seguridad en el acceso, mecanismos de contención, y después un Poder Judicial muy activo en realizar las tareas de inteligencia y de seguimiento, para detener a las bandas que cometen los delitos. Parece que se pierde en la discusión que se necesita un trabajo muy coordinado con las divisiones de delitos informáticos de la policía y del Poder Judicial para trabajar desbaratando las bandas, que al final del día son las que cometen el delito.

-Dónde va la plata, a qué cuenta se transfiere…

-Claro, la triangulación del dinero tiene una trazabilidad a través del sistema financiero, lo que pasa es que los bancos podemos ayudar en la parte que podemos rastrear, que es la que opera dentro nuestro. Una vez que la plata sale del banco se sigue operando, hasta que en algún momento presumiblemente sale del sistema financiero. Se puede hacer un rastreo, pero eso lo tiene que hacer fundamentalmente el Poder Judicial, y nosotros como banco hemos tenido un rol proactivo en generar ese tipo de inteligencia.

-¿Ayuda la Justicia? ¿Se mueve rápido, o más o menos?

-Nosotros ayudamos, colaboramos, pero no determinamos los tiempos ni la velocidad en los cuales se ejecutan los procesos. Eso habría que hablarlo con el poder judicial.

-Una suposición típica es que cae la gente más grande, ¿hay datos sobre las edades?

-No tengo el perfil etario, podemos intentar reconstruirlo. Han habido estafas de ingeniería social que afectan a diferentes perfiles etarios, el dato concreto no lo tengo. Lo que pasa es que la incorporación de medios digitales no fue solo de adultos mayores, fue de una transformación y velocidad muy rápida para todos los segmentos de la población.

-Los bancos siempre tuvieron estafas. En tu tarjeta aparecían cobros que no correspondían, duplicación de tarjeta, que ibas al cajero y te clonaban la tarjeta. Pero siempre fueron muy chicos en términos de volumen. Para un banco no representaba tanto. Los bancos, con tal que cuidar su imagen, no salían a denunciar públicamente. Intuyo que esto fue tan grande que los bancos tuvieron que salir a decir ‘tenemos un problema acá y tenemos que solucionarlo’.

-El primer tema es el que hablamos al principio. La innovación y los cambios culturales traen aparejados diferentes tipos de delitos. Cuando aparecieron las tarjetas aparecieron los delitos con tarjetas. Antes te pasaban la tarjeta y te aparecían un montón de consumos. En este caso puntual, lo que ocurre es que son dos instancias: cuando se comete un delito de ingeniería social puede o no implicar un banco. Hay gente que en un delito de esta naturaleza le abre la puerta de la casa a alguien que entra y le roba. Son delitos complejos porque, en principio, lo que están vulnerando es la confianza de las personas. Lo que tenemos que hacer los bancos es ayudar pedagógicamente a que la gente entienda los riesgos que asume cuando realiza determinado tipo de conducta, o que sepa que ante determinado tipo de llamado un banco nunca te va a pedir una clave; esa es la solución de fondo. Si la gente al momento que alguien le pide una clave le corta la llamada, ya sabemos que ahí no va a pasar más nada, porque todo lo otro que hablamos respecto de la seguridad intrínseca, de los portales de internet, es algo que se trabaja mucho. permanentemente. y sobre lo cual hay una solvencia muy grande. Lo que viene después es qué pasa cuando una persona fue estafada.

-¿Quién tiene razón en las demandas?

-Es que la estafa no es un problema de razón o no razón. Hay un delito y hay un ladrón que hay que ir y apresarlo. Es como si a vos te roban en la calle: el delito lo comete el que te roba, y esa es la persona que hay que ir a detener.

-Pero viene un cliente del banco y te dice “me engañaron y perdí todo lo que había en la cuenta y me sacaron un crédito pre aprobado por 600.000 pesos”; ¿cuántas veces la Justicia le dio la razón al banco y cuántas veces al usuario?

-No tengo datos sobre esa estadística. Lo que hay que verificar ahí es si el banco cumple las normas de seguridad, si tiene mecanismos de contención y alerta, doble verificación, tiempos de acreditación que a vos te permiten identificar efectivamente que no fuiste, y los tiene funcionando… porque si no, la solución a lo que vos me estás planteando es que no exista el canal digital. El pico que tuvimos nosotros nunca llega a ser un porcentaje alto respecto del volumen de créditos que el banco entrega a través del home banking. Toda la gente que en vez de tener que ir a la sucursal, hacer la fila y perder el tiempo, lo resuelve a través del home banking en minutos, lo estás contrapesando con un universo que creció, pero que nunca llegó a dominar el volumen global de lo que opera el banco, ni de cerca. Lo que hay que tener es una buena estrategia de seguridad, el doble factor de autenticación, medidas de contención, plazos de acreditación que a vos te permitan avisar que fuiste víctima de una estafa y que ante eso el banco lo bloquee (eso a nosotros nos permitió reducir el monto que, efectivamente, de todas estas estafas, termina siendo transferido a otra cuenta), todo eso tiene que estar funcionando y operativo. Con todo eso funcionando nosotros le garantizamos la seguridad a nuestros clientes.

-Para que el delito baje, ¿cree que la gente fue más consciente también?

-Es claro que se ha trabajado, desde el banco y desde todo el sistema financiero, muy proactivamente, en comunicar sobre los riesgos de los delitos de ingeniería social. Es difícil hoy vincularse con el banco y no recibir por algún canal una alerta de seguridad. Eso se ha generalizado a nivel sistémico; o por lo menos, desde el banco lo hemos hecho en todos nuestros canales. Estamos permanentemente teniendo alertas de seguridad. Esta entrevista también es un buen momento para poner en primera plana la importancia de proteger los datos y las claves bancarias en cualquier banco de los usuarios de servicios financieros.

-¿Tienen dimensionado el costo de esto? Si antes las estafas que se cometían a nivel bancario representaban el 10%, ahora se incrementaron al 15%.

-Hacemos un seguimiento regular, pero primero no hay que sobredimensionarlo: fue grande en relación a lo que había, pero no en relación al volumen total de las operaciones realizadas. Por ejemplo, si yo tengo 20 millones de ingresos por mes al home banking, y después tengo problemas en el 1%, son un montón de casos concretos y de gente que está siendo afectada, pero es un porcentaje chico en relación al volumen total de la operación que uno realiza. Hoy el banco origina el 70% de los préstamos personales a través del home banking. En nuestra banca, por ejemplo, el descuento de cheque que antes de la pandemia era 100% presencial y ahora el 70% es a través del home banking. Vos tenes una transformación muy grande en el volumen de operaciones que trajiste a los canales digitales, y nuestro primer desafío como banco público era tener esas herramientas y garantizar que sean seguras. Y son seguras, si vos no entregás tus claves no pasa nada, y cuando necesitás hacer una operación lo vas a hacer rápido, en un entorno seguro.

-Decía antes que la gente falló en entregas las claves, ¿en qué fallaron los bancos?

-Lo que nosotros recogemos de esta experiencia es que la visibilización de las medidas de seguridad tiene que ser una agenda permanente y prioritaria. La gente tiene que saber que tiene que proteger sus claves. La clave para que nada de esto ocurra es la protección de los datos, como uno no entregaría las llaves o un documento personal. Este era un proceso que tenía una dinámica y un determinado crecimiento, y tuvo una explosión a partir de la transformación que implicó la pandemia. Tenemos que ayudar desde la parte pedagógica hasta la parte de contención para que aun en ese caso la gente se sienta protegida.

Conforme a los criterios de

Conocé más

Con un código QR. Nueva estafa en WhatsApp: acceden a tu cuenta y no te la roban, sino que la usan en simultáneo

Criptomonedas. La herramienta que recomiendan los expertos para evitar ser víctima de hackeos

Máxima seguridad. Así funciona la nueva herramienta "anti-robo" de Android: bloqueos y más medidas preventivas