EscucharAcababa de llegar a redacción de Grupo Nación tras la conferencia de prensa del Ministerio de Hacienda, el recién pasado viernes 24 de junio, donde anunciaron la habilitación de los sistemas TICA (Tecnología de Información para el Control Aduanero) y Exonet, tras 68 días de estar fuera de servicio por el hackeo del grupo Conti.
No me había terminado de ubicar en el escritorio, cuando en mi celular y en el reloj llegó una notificación de un mensaje que me dejó casi helado y atarantado, sin saber para dónde agarrar o qué hacer. Era un mensaje corto de texto (SMS) que decía: “BN informa: su cuenta fue abierta satisfactoriamente”.
¿Qué? ¿Cómo? Si no soy cliente del Banco Nacional (BN) y tampoco he iniciado, solicitado o realizado ningún trámite para abrir una cuenta en el BN. Desde el 18 de abril me correspondió cubrir los problemas causados por el hackeo a Hacienda y a otras entidades públicas. Además, publicamos un reportaje sobre el caso de la Sociedad de Seguros de Vida del Magisterio y numerosas notas sobre cómo es que los hackers actúan y cómo protegerse.
Sí, estoy en condición paranoica con los hackeos. A veces recibo mensajes de texto también o llamadas de números telefónicos desconocidos que no atiendo. Tal vez menos que muchos ciudadanos, pues no soy cliente potencial ni para una rifa de números.
Como lo comenté en otro post, tampoco atiendo mensajes en WhatsApp de desconocidos y menos los que vienen con fotos, archivos, videos, gifs, memes o cualquier archivo que puede incluir un virus, un malware, un ransomware, un keylogger (de los que leen lo que uno digita en el teclado), un software espía, un troyano o algún bicho de esos inventado por los hackers.
Que alguien abriera una cuenta a mi nombre ya era otra cosa. Además, como pueden ver, el mensaje decía que en los próximos tres días podía pasar a retirar una tarjeta. Para agravar la situación y mi paranoia, inmediatamente recibí otro mensaje.
En ese nuevo SMS me comunican que me suscribieron al servicio de Sinpe.
¿Cómo? ¡Pero si nunca he usado Sinpe móvil ni con el banco con el que sí opero! Ni siquiera he descargado la app. Las transferencias electrónicas las hago a cuentas IBAN y utilizando un token o código digital, entre otras medidas de seguridad, que me da el banco del cual soy cliente.
Recordemos, además, que en abril pasado el BN estuvo en el ojo del huracán. La entidad tuvo que implementar un mecanismo de seguridad para las transferencias de Sinpe Móvil.
Todas las posibilidades estaban abiertas.
Por ejemplo, existía la posibilidad de que no fuera un delincuente abriendo una cuenta a mi nombre. Podía ser que, como algunos bancos hacían con las tarjetas de crédito, abrieron una cuenta y ahora me notificaban para ver si uno empieza a usar el servicio.
Pensé incluso que alguien podría andar mi número telefónico. Pero hasta la oficina de prensa del operador de telefonía móvil se comunica conmigo a ese número y también las oficinas de prensa de los otros operadores que son competencia.
Y, claro, había otro escenario: que alguien tenga un número telefónico tan parecido, que el número tuviera seis o siete dígitos iguales y que al abrir la cuenta, el funcionario o el mismo cliente, se equivocara y terminara digitando mi número completo. De casualidad, de puritita casualidad.
En cualquier caso, me quedé pensando cuáles son los procesos del banco para verificar la información cuando alguien abre una cuenta. ¿Cómo hace para constatar que la cuenta abierta es de la persona que dice ser y no de otra? Eso es un principio elemental de seguridad y protección.
Lo primero que hice fue enviar unas consultas al banco por medio de la oficina de prensa, como canal oficial, incluyendo pantallazos de ambos mensajes. Luego intenté comunicarme con la oficina de prensa del banco, pero no hubo respuesta. Entonces llamé al servicio al cliente.
Me atendió una muchacha que me advirtió que la conversación estaba siendo grabada. Le respondí que mejor que fuera así. Le expliqué la situación. Tras pedirme unos datos, me confirmó que mi número telefónico estaba asociado a una cuenta de Sinpe de alguien con nombre de personaje de televisión infantil.
—¿Puede desvincular mi número de esa cuenta?
—Debe enviar el mensaje de INACTIVE al 2627.
Le pregunté varias veces la instrucción. Maña de repreguntar para verificar hasta mi propio nombre y para estar seguro de lo que debía hacer.
—Probablemente alguien hizo la afiliación en una sucursal y puede haber existido una equivocación en la digitalización del número— me explicó la operadora en algún momento.
Como me había identificado como periodista de El Financiero, le pedí que si me podía comunicar con la oficina de prensa. El resultado fue el mismo. Todavía no se me había ocurrido que podrían estar en teletrabajo y que tampoco redirigen las llamadas a los teléfonos del personal.
Al final la operadora me pidió que si podía llenar una encuesta y fui respondiendo las preguntas, sin saber con seguridad si el 1 era la calificación máxima o si era el 5, pues mi mente estaba en que debía enviar el mensaje para inactivar esa cuenta. No sé si respondí todo, pues en algún momento la grabación automática no preguntó más y tampoco avisó si ya había finalizado.
Terminé la llamada y me apresuré para enviar el INACTIVE al número indicado. Un momento después me llegó una confirmación, también por SMS. En otro correo informé a la oficina de prensa que había realizado este otro trámite por seguridad.
En la tarde, me llamaron de la oficina de prensa y les conté lo que había pasado. Unas dos horas más tarde recibí las respuestas. Las copio aquí:
¿Pueden indicarme si existe una cuenta a mi nombre abierta por alguien?
R/ No existen cuentas a su nombre actualmente.
¿Pueden indicarme si esto es una comunicación oficial del Banco Nacional?
R/ Ese tipo de alertas son las utilizadas por el Banco Nacional para brindar información sobre los diversos servicios, productos y afiliaciones que los clientes realizan.
¿Pueden indicarme, en caso afirmativo, por qué realizan una suscripción no autorizada por mi persona?
R/ El Banco Nacional no ha realizado ninguna afiliación relacionada con su persona a este servicio en particular. De acuerdo a los datos recopilados, esta afiliación corresponde a una autogestión en línea de una cliente.
¿Pueden realizar el cierre de la cuenta inmediatamente?
R/ No se ha realizado ninguna apertura o vinculación de una cuenta a su nombre. De acuerdo a su solicitud, se procedió a eliminar la vinculación del servicio Sinpe Móvil a su número de teléfono, la cual fue realizada por error por la cliente en mención. (El subrayado es mío)
Entonces, todo queda en un error de alguien que digitó por casualidad, por puritica casualidad, mi número telefónico prepago. Con todo me quedaba una duda. Acusé recibo de las respuestas y volví a preguntar.
¿Cuáles son los mecanismos y procesos que dispone el Banco Nacional para corroborar que en la apertura de cuentas de Sinpe el número y las cuentas que se afilian, se inscriben, se registran o se asocian corresponde al cliente que está realizando este trámite?
Poco después, recibí la respuesta a esta nueva consulta:
R/ Es el cliente quien indica el número de teléfono que desea afiliar, ya que no hay ninguna restricción a nivel de reglamento del Banco Central para que el cliente indique un número telefónico que no se encuentre a su nombre.
O sea... ¿Cuántos portillos más deben haber en los reglamentos y también en los procesos bancarios?
