El Banco de Córdoba aseguró que no hubo hackeo ni responsabilidad de su parte en el caso del empleado de la Defensoría del Pueblo al que le vaciaron la cuenta en la que tenía 800 mil pesos. Karim Hitt, gerente de Seguridad y Prevención de Fraudes del Bancor, indicó que, seguramente, Daniel Peralta fue víctima de un engaño social o lo que solía llamarse “el cuento del tío”.
Puntal publicó ayer el caso del empleado público al que el 7 de este mes le vaciaron la cuenta en la que tenía el sueldo del mes junto con sus ahorros. Hizo la denuncia pero desde el Bancor le dijeron que no tenían responsabilidad en el hecho.
Hitt ratificó ayer esa postura: dijo que el sistema de seguridad digital del banco no falló, que no fue vulnerado y que, de alguna manera, el cliente fue engañado para entregar los datos que permitieron que se hicieran dos transferencias por un total de 800 mil pesos.
“Este caso ya fue tratado, analizado, profundizado y respondido oportunamente al cliente. El tema de los engaños por ingeniería social o los hacking sociales son un flagelo a nivel mundial.Por eso el Banco viene trabajando no solo en la educación y concientización del cliente sino también en el aseguramiento tecnológico de la plataforma digital del banco. Es una plataforma digital que desde su nacimiento a la fecha no ha sufrido intrusión o vandalización en sus medidas de seguridad implícitas”, dijo Hitt.
El gerente de seguridad del Bancor agregó:“En términos particulares, en el caso del señor Peralta no se ha determinado ningún tipo de hackeo o intromisión a la plataforma. El cliente cuestiona transferencias o movimientos de fondos, los cuales se pueden concretar si y solo si la persona que lo hace está munida de los siguientes elementos de seguridad:un usuario, que es propio y confidencial del cliente y una contraseña que es propia y confidencial del cliente.Es decir que quien ingresó a la plataforma en el supuesto que indica el señor Peralta lo hizo con su usuario y su contraseña”.
Según Hitt, no hubo ningún elemento en el análisis técnico que indique que haya habido un proceso de recuperación de usuario o recuperación de contraseña, que son las credenciales del cliente. Es decir, no le robaron los datos.
“No se da ningún de phishing en el caso Peralta porque eso ocurre cuando el cliente ingresa en una máscara o un espejo de alguna plataforma digital, que no se dio en este caso. El usuario y la contraseña por sí solos no son suficientes ni alcanzan a un supuesto defraudador para poder consumar un delito porque los siguientes pasos que tiene que hacer un defraudador para vandalizar a un cliente son los siguientes: generalmente cuando alguien va a cometer este tipo de fraudes crea un nuevo destinatario para la transferencia. El cliente en su plataforma digital tiene una agenda de destinatarios de transferencia. Si quiere crear un nuevo destinatario de transferencia, tiene que hacer un proceso de alta del nuevo destinatario de fondos. Y la plataforma digital le pide un código token, que está embebido en el dispositivo móvil del cliente. Pero eso tampoco alcanza porque con ese código lo único que logro es crear un nuevo destinatario. Para transferir necesito otro código token, que es el mismo proceso de seguridad que es la semilla que tiene un período de vida que no dura más de 30 segundos. En el caso de Peralta hubo dos transferencias. Aparte del código token para el alta del nuevo destino, el defraudador tuvo que tener en su poder dos códigos token más, uno por cada transferencia. Y el token está solamente en su teléfono particular”, manifestó Hitt.
-¿Qué puede haber pasado entonces?
- Hay que ser prudentes porque seguramente este caso se va a judicializar. No digo que sea el caso, pero puede ocurrir que los clientes sean víctimas de algún engaño y que el defraudador, por distintas técnicas, logre que el cliente divulgue los elementos de seguridad. Diría que son engaños sociales, lo que antes se llamaba comunmente un cuento del tío.
Lo que se lee ahora
Río Cuarto