¿Cargos no reconocidos en tarjetas de crédito y débito?

Los cargos no reconocidos son uno de los problemas más frecuentes que enfrentan los usuarios de tarjetas de crédito o débito.

 

Existen alrededor del mundo diversos ejemplos de vulneraciones en la ciberseguridad de las instituciones bancarias, ejemplo de ello, lo constituye el robo masivo suscitado en el Reino Unido respecto de Tesco Bank en noviembre de dos mil dieciséis, quien sufrió una violación de seguridad en línea en la que se retiraron un total de dos millones y medio de libras esterlinas, de veinte mil de sus ciento treinta y seis mil cuentas corrientes, detectándose actividad sospechosa sobre un porcentaje similar.

 

Nuestro país no es la excepción.  En dos mil dieciocho, el Banco de México reportó que piratas informáticos robaron alrededor de trescientos millones de pesos al crear órdenes fantasmas para transferir fondos a cuentas falsas para luego retirarlos. Lo anterior ocurrió mediante un ciberataque al software aplicativo usado por algunos bancos para conectarse al SPEI, lo que afectó las transferencias electrónicas, confirmándose la realización de operaciones no autorizadas.

 

Al respecto, cabe destacar que el propio Banco de México ha reconocido que la violación de seguridad ocurrió en la etapa previa a la valoración de formato en la plataforma SPEI, es decir, en la etapa de instrucción de pago y firma digital del banco participante; empero, lo cierto es que, con independencia del momento específico que se haya suscitado el ataque, a partir de su actualización, se logró evidenciar la existencia de nuevas y más eficientes tecnologías para llevar a cabo ciberataques.

 

Ante este panorama, las instituciones financieras que participan en cualquier forma de banca por Internet deben tener métodos confiables para autenticar a los clientes, desarrollando sistemas eficaces para salvaguardar su información, a fin de prevenir el fraude electrónico e inhibir el robo de identidades.

 

Para ello se ha recomendado no sólo la implementación de métodos que incluyan el uso de contraseñas y números de identificación, certificados digitales, contraseñas de un solo uso y otros tipos de «tokens», pues el nivel de protección contra riesgos que ofrece cada una de estas técnicas varía, por lo que es aconsejable adoptar la implementación de diferentes y más novedosas técnicas como podrían ser las características biométricas de los usuarios. Al respecto el Consejo Examinador de Instituciones Financieras Federales (Federal Financial Institutions Examination Council FFIEC), establece que las metodologías de autenticación deben involucrar t factores básicos: algo que el usuario sepa (por ejemplo, contraseña, PIN); algo que el usuario tenga (verbigracia, una tarjeta bancaria); y, algo que sea del usuario (por ejemplo, características biométricas como una huella dactilar, el iris ocular o el reconocimiento facial).

 

Sin embargo, ningún sistema puede ser confiable al 100%, la delincuencia busca las maneras de actualizarse y obtener la forma de realizar fraudes cibernéticos, una de las formas más frecuentes de obtener los datos personales de un usuario de la banca por internet, es a través de enviarle a su móvil o por correo electrónico mensajes supuestamente de un banco notificándole el cargo de una compra y adjuntando una liga, otro ejemplo común es que envían anuncios que un directivo de una empresa reconocida lo ha seleccionado para un puesto laboral.

 

Por lo tanto, el phishing, es una técnica para intentar adquirir datos confidenciales, como números de cuentas bancarias, a través de una solicitud fraudulenta en un correo electrónico o en un sitio web, en la que el perpetrador se hace pasar por un negocio legítimo o una persona con reputación.

 

Otro ataque cibernético es llamado Man-in-the-middle attack (MitM), éste es cuando un atacante altera la comunicación entre dos usuarios, haciéndose pasar por ambas víctimas para manipularlos y obtener acceso a sus datos. Los usuarios no son conscientes de que realmente se están comunicando con un atacante y no entre ellos.

 

En relación con la calidad operacional de banca por Internet, The Open Web Application Security Project (OWASP)[1] ha clasificado los riesgos de seguridad en las aplicaciones de red de acuerdo con los ataques exitosos ocurridos. Entre los ataques informados, encontramos los siguientes:

 

1. Injection Flaws. Los defectos de inyección pueden ocurrir en el leguaje de consulta estructurado (Structured Query Language SQL) o en el protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol LDAP). La inyección ocurre cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute de forma no intencionada comandos o acceder a datos no autorizados.
2. Cross-Site Scripting (XSS). Se suscitan cada vez que una aplicación toma datos no confiables y envía a un navegador web sin la validación adecuada, para luego escapar. Este tipo de mecanismo permite a los atacantes ejecutar scripts en el navegador de la víctima que incluso puede llegar a secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.
3. Broken Authentication and Session Management (BA&SM). Este tipo de funciones posibilitan a los atacantes comprometer contraseñas, claves, tokens de sesión, o explotar otras fallas de implementación para asumir las identidades de otros usuarios. El objetivo de este ataque es apoderarse de una o más cuentas obteniendo los mismos privilegios que el usuario real.
4. Insecure Direct Object References (IDOR). La referencia de objeto ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, como, un archivo, un directorio o una clave de base de datos. Sin un acceso de control u otra protección, los atacantes pueden manipular estas referencias para acceder a datos no autorizados de otras personas.
5. Cross-Site Request Forgery (CSRF). Este tipo de ataque obliga a iniciar sesión en el navegador de la víctima para enviar una solicitud HTTP falsificada, incluida la cookie[2] de sesión de la víctima y cualquier otra información de autenticación incluida automáticamente, a una aplicación de red vulnerable. Lo anterior permite al atacante obligar al navegador de la víctima a generar solicitudes ilegítimas, aun cuando la aplicación vulnerada las tenga como legítimas; y
6. Insecure Cryptographic Storage (ICS). El almacenamiento criptográfico inseguro consiste fundamentalmente en la inadecuada protección de muchas aplicaciones web de los datos sensibles, como podrían ser los números de tarjetas y las credenciales de autenticación. A partir de ello, el atacante puede robar o modificar dichos datos débilmente protegidos para realizar robo de identidad, fraude con tarjetas de crédito u otros delitos similares.

 

[1] Open Web Application Security Project® (OWASP) es una fundación sin fines de lucro que trabaja para mejorar la seguridad de los softwares, a través de proyectos de código abierto liderados por diversos miembros expertos en desarrollo tecnológico para proteger la web. «https://owasp.org/#».

[2] Las cookies son archivos de texto con pequeños datos, como un nombre de usuario y una contraseña, que se utilizan para identificar su computadora mientras se utiliza una red informática.

 

El conocimiento de los riesgos de seguridad cibernética, a menudo, deficiente por parte de los clientes, lo que facilita los engaños y la divulgación de sus datos confidenciales a grupos delictivos que luego pueden usarse para autenticar transacciones fraudulentas, por lo que te recomendamos:

 

1. No conectarse a redes wifi públicas, ya que tienen poca seguridad y pueden robar sus datos personales.
2. No compartir con nadie su usuario, contraseñas y demás para entrar a su banca por internet.
3. No abrir ningún mensaje o correo extraño.
4. No entrar a paginas no oficiales.
5. En caso de que le llamen supuestamente de su banco, no proporcione información confidencial, es preferible cuelgue y se comunique a los teléfonos oficiales de la institución bancaria, los bancos no piden datos personales vía telefónica.

 

Si llegas a presentar una situación de un cobro indebido, te decimos qué hacer:

 

1. Llame a su institución financiera; reporte los cargos que no reconozca y cancele tu tarjeta, así evitará que los delincuentes realicen otras operaciones.
2. Presente su queja en la Unidad Especializada (UNE) de su Banco, donde le darán una solicitud de aclaración, puede ser incluso a través de su portal de internet.
3. El Banco está obligado a entregarle un acuse de recibo de la solicitud, con un folio, fecha y hora de recepción. (Consérvelo).
4. Si el dictamen por parte de la UNE resulta improcedente, acuda con nuestros abogados especialistas, ellos le asesorarán y le informarán la manera de proceder en contra de la institución bancaria, con una alta posibilidad de recuperar su dinero o de cancelar el cargo en caso de haber sido a una de tus tarjetas de crédito.

 

Las cookies específicas conocidas como cookies HTTP se utilizan para identificar usuarios específicos y mejorar su experiencia de navegación de la red. El navegador almacena cada mensaje en un archivo pequeño, llamado cookie.txt.; así, al abrir una página en el servidor, su navegador envía la cookie de vuelta, por lo que estos archivos suelen contener información sobre su visita a la página, así como cualquier información que haya proporcionado voluntariamente, como su nombre e intereses. Recuperado de la Universidad de Indiana (Indiana University), en la liga electrónica siguiente: «https://kb.iu.edu/d/agwm».

 

Lic. Rodolfo Yarit Wong Montes

Abogado Senior Contencioso