La CNBV confirmó que 96.5% de esas tarjetas sí fueron hackeadas.
Por Thelma Gómez y Miriam Castillo
Ciudad de México, Mexicanos Contra la Corrupción y la Impunidad.- A unas siete cuadras de la playa de Boca del Río, en Veracruz, está la tienda Chedraui en donde, durante once días —del 23 de octubre y hasta el dos de noviembre de 2017— se hicieron cargos a 82 tarjetas entregadas a los afectados por los sismos de septiembre pasado. El supermercado se localiza a unos 570 kilómetros de distancia de Cintalapa, Chiapas, lugar en donde viven los damnificados a los que se les clonaron esas tarjetas.
El supermercado de Boca del Río es uno de los cuatro establecimientos comerciales que, en una investigación de la Comisión Nacional Bancaria y de Valores (CNBV) se mencionan como los sitios desde donde se realizaron cargos a las tarjetas de débito clonadas a damnificados de Chiapas y Oaxaca. Los otros tres comercios son una pizzería de Guadalajara, Jalisco; otra del Puerto de Veracruz; así como una tienda de celulares en Cancún, Quintana Roo.
La investigación realizada por la CNBV, a la cual Mexicanos contra la Corrupción y la Impunidad (MCCI) tuvo acceso, detectó los mecanismos que se utilizaron para robar dinero de las tarjetas de débito que el Banco Nacional de Servicios Financieros (Bansefi) distribuyó entre los damnificados de los sismos del 7 y 19 de septiembre de 2017.
Buena parte de los cargos se realizaron, incluso, antes de que se entregaran las tarjetas a los afectados por los terremotos. Y esto ocurrió porque Bansefi, instancia responsable de depositar el dinero del Fondo de Desastres Naturales (Fonden) a las tarjetas y de repartirlas, carece de mecanismos que permitan prevenir fraudes en los plásticos que emite, de acuerdo con la investigación de la CNBV.
Hasta el pasado 22 de noviembre, 258 damnificados habían denunciado que las tarjetas entregadas por Bansefi registraban cargos que ellos no reconocían. La CNBV confirmó que 96.5% de esas tarjetas sí fueron hackeadas y se extrajeron a través de ellas, de manera ilegal, dos millones de pesos.
El fraude, sin embargo, podría ser mayor: la CNBV encontró que el mismo modus operandi se utilizó para realizar transacciones irregulares en cientos de tarjetas más, de las cuales no se tenía denuncia hasta el 22 de noviembre.
La CNBV comenzó, el 16 de noviembre pasado, la investigación a Bansefi por las tarjetas con recursos del Fonden que se repartieron entre damnificados de Oaxaca y Chiapas. Lo hizo dos días después de que el propio banco presentó una denuncia, ante la Procuraduría General de la República (PGR), por la presunta clonación de 57 tarjetas entregadas a los afectados por los sismos. Para el 22 de noviembre ya se tenían 258 tarjetas con reclamaciones, fue en ellas que la CNBV centró parte de su investigación, cuya primera etapa concluyó el pasado 20 de diciembre.
Consultadas al respecto, tanto la CNBV como Bansefi respondieron que no podían hacer comentarios sobre la investigación por ser aún un proceso abierto. En el caso específico de Bansefi, informaron que el próximo 2 de febrero es la fecha límite para responder a las observaciones de la autoridad bancaria.
El lunes 15 de enero MCCI dio a conocer que la investigación de la CNBV encontró que Bansefi emitió multiples tarjetas a nombre de 1,495 damnificados y que en esos plásticos se depositaron 68.8 millones de pesos. Cuando MCCI contactó a personas cuyos nombres aparecen con 34, 26, 18, 16 y hasta 14 tarjetas, se encontró que algunas de esas personas ni siquiera habían recibido una tarjeta.
Ahora, MCCI revela otra parte de la investigación de la CNBV, la cual corresponde a los casos de clonación de tarjetas para los damnificados, caso que trascendió en noviembre pasado. En la observación número 11 de la pesquisa, que forma parte del expediente 122.11.12(001597)”2017”<6>, se señala que el Banco “registró deficiencias” para identificar este tipo de fraudes, realizados a través de medios electrónicos, ya que “carece de mecanismos o sistemas para prevenir y detectar” estas operaciones.
La CNBV también resalta que por “la falta de capacidad para detectar y bloquear transacciones de tipo fraudulentas, esa entidad (Bansefi) habría sido objeto de clonación del 96.5% de las tarjetas que entregó a los 258 beneficiarios que presentaron quejas por transacciones no reconocidas, al 22 de noviembre de 2017, pertenecientes a los estados de Oaxaca y Chiapas”.
De peso en peso
Al analizar todas las transacciones realizadas en las 258 tarjetas que presentaron una reclamación, la CNBV identificó cuatro mecanismos utilizados para extraer el dinero de ellas en forma ilegal. En 129, por ejemplo, se detectaron compras en lugares alejados en periodos cortos que “no son coherentes con el tiempo requerido de traslado”. Un millón 107 mil 944 pesos se retiraron de esta forma.
También se documentó que en 59 tarjetas se realizaron compras antes de que el plástico se entregara al beneficiario. Con este mecanismo se extrajeron 357 mil 76 pesos.
En 34 tarjetas se registraron muchos cargos por un solo peso, fue así como se retiraron 362 mil 23 pesos. Y en 27 plásticos más se identificaron operaciones en establecimientos o lugares en donde se concentraron las transacciones anómalas, por una suma de178 mil 798 pesos.
Solo en nueve tarjetas se encontró que fueron los mismos beneficiarios quienes retiraron el dinero; en estos casos el monto total es de 60 mil 535 pesos.
Al analizar los movimientos de retiro de las 249 tarjetas en donde se corroboró el hackeo, la CNBV identificó que 199 de esos plásticos presentan, por lo menos, una transacción en cuatro establecimientos comerciales ubicados en lugares diferentes y distantes a las comunidades donde viven los afectados por el sismo.
Además del Chedraui de Boca del Río, también se identificó que las terminales bancarias desde donde se extrajo el dinero de los daminifcados se encuentran en un local de Pizza Hut, ubicado en la colonia Loma Bonita de Guadalajara, Jalisco; en un Dominos Pizza de la colonia Los Pinitos, en el puerto de Veracruz, y en un local que la tienda de telefonía celular Evol Móvil tiene en Cancún, Quintana Roo.
Cuando se detectaron los patrones de compra en los plásticos reclamados, la CNBV solicitó todos los movimientos de cualquier tarjeta de Fonden registrados en esos establecimientos comerciales. Fue así que encontró que había movimientos, en esos mismos comercios y con patrones idénticos, realizados a otros cientos de tarjetas del programa y que aún no habían sido denunciadas.
En su informe, la autoridad bancaria no señala probables responsables de los fraudes a las tarjetas para damnificados.
Arranca clonación antes que el programa
En la denuncia ante la PGR, y en la investigación que siguió después por parte de la CNBV, hay una comunidad que destaca: Asunción Ixtaltepec, Oaxaca. Fue ahí donde el 2 de octubre pasado comenzó la entrega de tarjetas a los damnificados de los sismos.
El nombre y la imagen de María Elena Jiménez Vega se conoció entonces en una publicación del diario El País, realizada el 9 de noviembre de 2017. María Elena fue la primera en recibir su tarjeta en la comunidad —se la entregó el presidente Enrique Peña Nieto—, el plástico resultó saqueado. Días después, la mujer tuvo que acudir a la única sucursal de Bansefi en Ixtaltepec, para presentar una reclamación porque su tarjeta no tenía fondos.
El caso de María Elena no fue el único. La investigación de la CNBV documentó que, al menos, 81 tarjetas de esa comunidad fueron clonadas. Algunas transacciones para retirar dinero de ellas se realizaron en el Pizza Hut ubicado en la colonia Loma Bonita, en Guadalajara, Jalisco; es decir, a 1,265 kilómetros de Asunción Ixtaltepec, Oaxaca.
A otras 48 tarjetas entregadas en esa misma comunidad se les hizo cargos desde un lugar ubicado a 450 kilómetros: el local de Domino´s Pizza que se encuentra en la calle de Cuauhtémoc, en Los Pinitos, Veracruz.
En el caso de la tarjeta con terminación 2272, entregada también en Asunción Ixtaltepec, se le realizaron cargos de una tienda que vende teléfonos celulares en Cancún, Quintana Roo, y que se ubica a 1,275 kilómetros de distancia de la comunidad damnificada por el terremoto.
En la tienda de telefonía de Cancún, de acuerdo con los documentos analizados por la CNBV, se realizaron transacciones de las tarjetas de Fonden de otros 20 usuarios; nueve de ellas se hicieron antes de que los damnificados recibieran el plástico. En total, la CNBV ubicó transacciones en 128 tarjetas diferentes realizadas entre el 31 de octubre y el dos de noviembre en ese local, de las cuales sólo 16 han sido reportadas.
En la investigación de la CNBV también se ubica que, al menos, se realizaron 37 transacciones antes de que se entregaran las tarjetas.
La autoridad bancaria identificó que los usuarios afectados por el hackeo de sus tarjetas se concentran en tres comunidades de Oaxaca —Asunción Ixtaltepec, Magdalena Tlacotepec y Juchitán— y en otras tres de Chiapas: Tonalá, Cintalapa y Pijijiapan.
Las transacciones fraudulentas en los cuatro comercios se realizaron entre el 22 de octubre y el 2 de noviembre de 2017. La CNBV destaca que buena parte de las operaciones se ejecutaron con una diferencia de tan solo cinco minutos.
Sin barreras para detener clonación
La investigación de la CNBV dedica varias observaciones sobre la forma en que se dispersaron los recursos y se distribuyeron las tarjetas.
En la observación 8, por ejemplo, señala que Bansefi “registró deficiencias en la distribución, resguardo y custodia de las tarjetas del programa Fonden en los estados de Oaxaca y Chiapas, que ocasionaron una inadecuada ejecución de dichos procesos”.
Tan sólo en las 258 tarjetas que analizó, la autoridad bancaria detectó que el plazo promedio entre la dispersión de los recursos y la entrega de la tarjeta fue de 19 días. Incluso, encontró un caso en el que al plástico se le depósito el dinero 44 días antes de ser entregado. “Lo anterior es relevante debido a que las tarjetas se encuentran con recursos, activas y desbloqueadas por varios días, lo que podría ocasionar un mal uso de las mismas”.
En la observación 11, dedicada al análisis de la clonación de tarjetas, se insiste en varios párrafos que Bansefi carece de “mecanismos y procedimientos” para prevenir operaciones irregulares, lo que “podría ocasionar que no se detecten con oportunidad posibles casos de fraude y con ello afectar el patrimonio de los clientes”.
Incluso, la CNBV cita una explicación que Bansefi le entregó por escrito cuando la autoridad bancaria le solicitó documentos e información para realizar su investigación:
“…al día de hoy en esta contraloría (Gerencia de Prevención de Fraudes) no cuenta con procesos, herramientas, infraestructura tecnológica y controles para la vigilancia; sin embargo, se estima que durante el mes de diciembre conjuntamente con la Dirección General Adjunta de Tecnología y Operación se libere en producción la Herramienta Antifraude para Medios de Pago MEBONE. Cabe mencionar, que el personal ya se encuentra en la etapa de capacitación.”