“¿Tenías una aplicación bancaria en tu teléfono celular? Si es así, le aconsejo que acceda a sus cuentas para ver si no pasó nada «. El corazón del analista de soporte Donald Jorge Cataliva, de 28 años, se aceleró cuando escuchó la recomendación del oficial de la policía civil de São Paulo al informar los detalles de un robo de teléfono celular.
El técnico se mostró preocupado porque creía que era muy difícil para los delincuentes desbloquear el dispositivo, un iPhone 11 con reconocimiento facial (Face ID), e imposible realizar transferencias bancarias utilizando el teléfono inteligente, debido a las llaves de seguridad.
«¿Como asi? Para acceder a la aplicación bancaria ingreso una contraseña. Para validar la transacción, uso una contraseña diferente ”, pensó, a quien el pasado 31 de marzo, en la región central de São Paulo, le robaron su celular por unos jóvenes que pasaban en sus bicicletas.
Tras consultar las cuentas bancarias y realizar búsquedas a través de las redes sociales, Cataliva descubrió dos cosas: el policía tenía razón, una cuenta había sido pirateada y alrededor de R $ 5.000 transferidos en menos de 30 minutos después del robo. También descubrió que no era la única víctima.
«Cuando vi tantos informes [na internet], Vi que la situación era peor de lo que imaginaba. No soy la primera víctima ”, dijo. “El mismo día que fui a hacer el apéndice del boletín, había otros dos tipos con el mismo problema que yo. Todo de Itaú ”.
Como explicaría la Policía a Cataliva, una versión también denunciada por delegados y víctimas a hojaEn la capital paulista proliferan bandas especializadas en robar celulares con el fin de acceder a aplicaciones bancarias para restar valores.
Los delincuentes pueden eludir los complejos sistemas de seguridad de los teléfonos móviles.
Aún no hay estadísticas oficiales, pero la situación se considera tan grave que la Procon (Fundación Protección y Defensa del Consumidor) prepara acciones para cobrar a las empresas involucradas en el sector para aumentar la protección. Esto es cierto para toda la cadena de servicios, según la agencia.
“Procon ya se enteró de una banda de receptores de teléfonos celulares cuyo principal negocio ilegal no es la reventa de teléfonos celulares, sino la defraudación de contraseñas por fraude bancario. Esto se está haciendo a través de un ejército de piratas informáticos ”, dijo el director ejecutivo Fernando Capez.
Según el jefe de la Policía, Roberto Monteiro, responsable de los distritos de la Policía Civil en la región central de São Paulo, sus equipos han estado realizando un intenso trabajo para combatir varias bandas que han comenzado a actuar en este segmento criminal. Todos los días, dice, se detiene a personas sospechosas de participar en este tipo de esquemas.
También según Monteiro, el fraude ha cobrado impulso desde el comienzo de la pandemia, cuando los delincuentes comenzaron a sortear los dispositivos de seguridad con mayor facilidad. Según él, el principal objetivo de los bandidos son los dispositivos que ya están abiertos por los usuarios.
«Los malos se dieron cuenta de que [a quantidade de informações existentes no celular] y comenzaron a comprar, por precios más altos, teléfonos celulares que pueden romper más fácilmente las contraseñas de acceso. Por lo general, es Android, o teléfonos celulares abiertos, cuando la persona está en Waze. Romper iOS es mucho más difícil, pero también pueden hacerlo ”, dijo.
Estas bandas, según él, están formadas por brasileños, pero hay muchos sudamericanos y sudafricanos. El delegado también alega que los delincuentes suelen realizar los traslados durante la noche, para no despertar la atención de las víctimas.
“Hoy en día los bancos digitales son muy vulnerables a este tipo de estafas. Y Pix también. Pix es genial para hacer la vida más fácil a todos, pero para los bandidos fue muy interesante ”, advierte.
Monteiro aconseja a las víctimas que registren el informe policial para que se puedan esclarecer más casos y detener a los delincuentes.
«Sólo tiene un problema. Los bancos no han reembolsado cantidades cuando se utiliza la contraseña personal. Dicen lo siguiente: ‘la obligación de los clientes es mantener la contraseña. Si se filtró es porque la persona fue negligente en la guardia ‘”, dijo.
A pesar de que no ha sido floja con sus contraseñas, Amanda ha estado peleando una disputa legal con Bradesco, que se negó a devolver todo el dinero robado por delincuentes después de que le robaran su teléfono celular en junio del año pasado.
Se devolvieron los aproximadamente R $ 4.000 retirados de la cuenta, incluido el préstamo realizado por los delincuentes a través de la aplicación, pero el banco se negó a devolver los gastos con la tarjeta de crédito (R $ 1.550), cuya existencia desconocía la víctima.
También según la víctima, los delincuentes también retiraron alrededor de R $ 5.000 de una cuenta de Nubank, pero los montos fueron devueltos unos dos días después, luego de que se denunciara el delito. “Tenía todos los métodos de seguridad activados. Biometría, PIN, todo ”, dijo, quien usaba un celular con sistema Android, lo llevaba cerrado y sin dar contraseña.
A otra víctima le quitaron alrededor de R $ 39 mil de sus cuentas luego del robo de su celular (iPhone XR), incluso con el uso de reconocimiento facial y token para transacciones bancarias.
Pudo identificar uno de los mecanismos utilizados por los delincuentes: invadieron el correo electrónico de la víctima y enviaron un mensaje a XP Investimentos haciéndose pasar por el cliente, alegando tener dificultades para mover recursos por fallas en el sistema de reconocimiento facial.
Así, solicitaron que el dinero se envíe a una cuenta en Mercado Pago. Se hizo la transferencia de alrededor de R $ 33 mil (porque era el mismo CPF) y, de ahí, los delincuentes trasladaron los fondos a otras cuentas a nombre de personas jurídicas.
Además, realizaron pagos y transferencias a través de PicPay, totalizando un incumplimiento de alrededor de R $ 5.000. Todos los fondos fueron devueltos por las instituciones.
Según Gustavo Monteiro, director de AllowMe, empresa especializada en la protección de identidades digitales, los casos más comunes de fraude se llevan a cabo a través de teléfonos celulares con sistemas operativos desactualizados o aún abiertos. «Una vez que están desbloqueados, pueden recuperar información para poder ingresar una nueva contraseña».
En cuanto a los fraudes más sofisticados, con teléfonos celulares cerrados, reconocimiento facial y biometría, dice que aún existen dudas sobre dónde radica el problema.
“Es difícil decirlo categóricamente. Las aplicaciones, en general, son sistemas activos y siempre está realizando actualizaciones y, en consecuencia, algunas de estas actualizaciones pueden presentar alguna vulnerabilidad «.
Para él, sin embargo, no existe un sistema infalible. “No existe un sistema 100% seguro. Estás protegido de ciertos tipos de amenazas, pero no al 100% ”, dijo.
Febraban dice que la seguridad de la aplicación no ha sido violada
Febraban (Federación Brasileña de Bancos) afirma que las aplicaciones bancarias son seguras, desde el desarrollo hasta el uso, y no hay registro de incumplimiento de esta seguridad.
“Para que se utilicen aplicaciones bancarias, el uso de la contraseña personal del cliente es obligatorio. Los datos de uso de la aplicación, así como la contraseña del cliente, nunca son almacenados por las aplicaciones del banco en los teléfonos celulares de los clientes ”, dice una nota.
Itaú Unibanco dijo que resolvió el caso mencionado en el artículo en abril de este año, luego de una queja de un cliente, y que invierte en tecnologías, sistemas y mejores herramientas de seguridad, además de reforzar constantemente los lineamientos para concienciar a los clientes sobre la seguridad.
«Hacemos hincapié en que la aplicación Itaú es segura y no se puede acceder sin el uso de una contraseña personal específica de la cuenta actual».
Bradesco informó que sus aplicaciones tienen un alto nivel de seguridad desde su desarrollo hasta su uso, “no existiendo constancia de incumplimiento de esta seguridad”.
“Para poder utilizar las aplicaciones, es obligatorio utilizar la contraseña personal del cliente. Los datos de uso de la aplicación, así como la contraseña del cliente, nunca son almacenados por las aplicaciones del banco en los teléfonos móviles «.
El banco finaliza la nota diciendo que “el caso citado fue investigado y resuelto con el cliente”, pero sin mencionar la acción aún en curso.
Mercado Pago informó que solo el usuario puede realizar movimientos a través de la aplicación. “En el caso que menciona el informe, una transacción a través de la aplicación solo se puede realizar si el usuario ha proporcionado sus credenciales al estafador o la aplicación Mercado Pago ya está desbloqueada. Con el teléfono celular y el PIN en la mano, un tercero puede registrar los datos biométricos «.
PicPay dijo que la seguridad es una prioridad para la empresa. “Nuestros clientes tienen varias herramientas para prevenir el fraude. Contamos con equipos dedicados a mitigar, monitorear y controlar riesgos en tiempo real. El caso concreto que menciona el artículo ya está resuelto, y los importes reembolsados al usuario ”, concluye la nota.
XP Investimentos informó que lamenta lo sucedido y que el cliente ya ha sido reembolsado. «XP refuerza que sigue las más estrictas normas de seguridad internacionales».
LA hoja no pudo contactar a Nubank.
Noticia de Brasil