Casos prácticos

El fraude:

Los asegurados son un gran banco de los Emiratos Árabes Unidos. Se robaron 1,5 millones de dólares de las cuentas de los clientes.

Un empleado accedió al sistema del banco y obtuvo la información de la cuenta personal de los clientes. Esta información se facilitó a estafadores externos que llamaron a la línea de banca telefónica del banco haciéndose pasar por los clientes. Se les pedía que respondieran a preguntas de seguridad para verificar la identidad de los clientes. Los estafadores utilizaron la información robada para responder correctamente a esas preguntas.

A continuación, los estafadores solicitaban diversas acciones en las cuentas. Para autorizarlas se requería una contraseña de un solo uso ("OTP"). Las OTP se enviaban a los números de teléfono móvil de los clientes que estaban registrados en el sistema del banco. Los delincuentes interceptaban las OTP utilizando tarjetas SIM de sustitución que habían obtenido indebidamente para los teléfonos móviles de los clientes.

Utilizando el modus operandi anterior, los estafadores llevaron a cabo lo siguiente:

• Cambió los números de teléfono móvil registrados de los clientes por los suyos propios;
• Obtuvo los nombres de usuario de banca por Internet de los clientes;
• Establecer nuevas contraseñas de banca por Internet;
• Obtuvo tarjetas de débito de sustitución y un talonario de cheques.
• Obtención de los códigos necesarios para efectuar reintegros sin tarjeta en los cajeros automáticos del asegurado.

Los delincuentes utilizaron este acceso para apropiarse indebidamente de aproximadamente 1,5 millones de USD de las cuentas de los clientes en un plazo de tres semanas. Lo hicieron mediante transferencias bancarias por Internet y retiradas de efectivo y cheques.

El empleado deshonesto huyó a su país natal poco antes de que se descubriera el fraude. Los intentos de la policía por localizarlo fueron infructuosos. Sin embargo, dos de los defraudadores externos fueron detenidos y su juicio aún no ha comenzado. Al parecer, el dinero se disipó rápidamente y no está claro si se podrá seguir su rastro.

Características de riesgo:

• Las preguntas de seguridad para verificar la identidad de los clientes eran débiles y la información necesaria para responderlas estaba disponible en el sistema para muchos de los empleados del banco.
• Se confiaba mucho en el hecho de que los OTP necesarios para autorizar una amplia gama de transacciones se enviarían a los números de teléfono móvil de los clientes almacenados en el sistema del banco. Esto era vulnerable a un fraude de intercambio de SIM.
• Se seleccionaron cuentas con saldos importantes, pero que se utilizaban con poca frecuencia. De este modo, se maximizaban los importes a intervenir y se minimizaban las posibilidades de un descubrimiento rápido.
• Los estafadores externos también se dirigieron a otros bancos de los EAU, reclutando a empleados bancarios para que facilitaran información sobre clientes a cambio de un pago. Es probable que los empleados de las compañías de telefonía móvil también estuvieran en connivencia.

Soluciones:

• El acceso a la información confidencial de los clientes se ha restringido únicamente a determinados empleados de alto nivel.
• Las preguntas de seguridad se han hecho más difíciles de responder por cualquiera que no sea el cliente genuino.
• Se está revisando la dependencia de los PTPO y se están aplicando alternativas.
• A partir de ahora, los clientes deberán responder a preguntas de seguridad integradas en el portal en línea para poder acceder a sus cuentas bancarias por Internet.