Una nueva modalidad de fraude electrónico está siendo utilizada por los delincuentes, se trata de un ciberdelito que opera de 2 formas, y al que cualquier usuario de la banca electrónica está expuesto: las transferencias fantasmas.
Varias personas ya han sido víctimas de este fraude, como es el caso de Emilio García quien acudió con un tanque de oxígeno al metro Tezonco, de la Línea 12 para venderlo en 5 mil pesos, y aunque el trato era en efectivo, la urgencia del comprador y sus súplicas lo convencieron de que le realizara una transferencia electrónica que enseguida cae en su cuenta. A su regreso pasa al cajero a retirar el efectivo, pero como un fantasma ha desaparecido.
Otro caso, fue el de una doctora en la Ciudad de México. Una madre le pagó con transferencia los 400 pesos de la consulta, quien posteriormente mostró la pantalla con la transacción y se retiró. Más tarde la doctora revisó su cuenta, pero el dinero nunca cayó.
El primer modus operandi se efectúa cuando el dinero se refleja en la cuenta de quien vende un artículo, producto o servicio, pero en minutos desaparece. Aquí existe una colusión de personal de los bancos, son insiders (están dentro de una empresa y toman provecho) que vía remota retiran el dinero de la cuenta y son cooptados por el crimen organizado. Algunos a través de redes sociales.
El otro es con una aplicación espejo. Son apps similares a la de los bancos, un clon que simula realizar la transacción de la cuenta con la clabe bancaria y cantidad pagada, pero en realidad no hay dinero transferido. Al destinatario le muestran la pantalla o envían la captura y dicen que quizá tarda en llegar por cuestiones del sistema del banco.
¿Cuándo apareció este fraude?
En apariencia este ciberdelito es nuevo y comenzó a cobrar sus primeras víctimas a partir de la pandemia de COVID-19. Sin embargo, es la mutación de los fraudes con cheques sin fondos o “salvo buen cobro”.
Es una sofisticación de un delito que ya se venía cometiendo antes de las transferencias electrónicas y se hacía con cheque. Ahora la nueva modalidad es esa transferencia que se vuelve fantasma, porque no cae en donde debería o cae en otra cuenta”, explica Mario Di Constanzo, extitular de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).
Se utiliza una manipulación del servicio bancario de la transferencia, que deriva en fraude, “porque precisamente cuando se entrega (el artículo) posteriormente la persona piensa que tiene el dinero, pero ya no lo tiene”, detalló Juan Manuel Aguilar, especialista en ciberseguridad e integrante del Colectivo de Análisis de la Seguridad con Democracia (Casede).
Este ciberdelito busca generar confianza en la víctima. Los defraudadores utilizan un banco o institución bancaria diferente al de la víctima, para tener la oportunidad de reclamar esta transferencia y que pueda ser devuelta, puntualiza Daniel Cruz, policía segundo, de la Dirección General de Investigación Cibernética y Operaciones Tecnológicas de la Secretaría de Seguridad Ciudadana de la CDMX.
Hay un apartado en nuestras aplicaciones donde podemos cancelar (…) eso lo hacen los ciberdelincuentes, cuando solamente requieren la captura de pantalla de que la transferencia se hizo válida. Esto podría generar confianza en la víctima, al tener un código electrónico de pago, que sí buscamos en el sistema de SPEI si existe como tal la transferencia”, describe Cruz.
Además, los criminales ahora también ofertan sus servicios de transferencias fantasma, algunos en redes, a cambio de una comisión por la cantidad involucrada en el fraude, lo mismo que comercializan las apps espejo.
Empleados de bancos cooptados por el crimen
“¿Algún ejecutivo de Banamex, interesado en dinero extra? No hacer trámites, no riesgo. Mándame inbox y te platico”, se lee en una publicación de un grupo de Facebook donde se ofertan productos o servicios del mercado negro.
En otros grupos similares la cooptación es directa: “Buscó gente de bancos que se quiera jubilar. Ejecutivos de Santander, Banamex”; “Buscó ejecutivo Banorte, Bancomer”. Al igual que con la otra publicación las respuestas saltan de inmediato y hay quienes incluso publican su número telefónico.
Esta es una de las modalidades de cómo el crimen organizado coopta a personal que labora en distintos bancos de todo el país y de esta manera crean redes de defraudación cibernética.
Di Constanzo explica que estos métodos de fraude se dan porque existe la posibilidad de que quien realiza el Sistema de Pagos Electrónicos Interbancarios (SPEI) dé reversa a la operación, y lo reporte como un error operativo del cliente. Pero para que ocurra debe haber un insider de por medio.
“Llegas a hacer una operación al banco, yo soy el cajero y a lo mejor pertenezco o soy un insider de la delincuencia organizada. Y me dices: “Mira, quiero hacer un SPEI a esta cuenta por un carro, te doy tu recibo y luego le doy reversa. Incluso lo puedo mandar a otra cuenta también y les digo (al personal del banco): ‘Aquí hay un error operativo del cliente, detengan esta operación’. Es un método muy nuevo porque se requiere de una persona dentro del banco que tenga la autorización para hacer esta reversa”, explica.
El integrante de Casede coincide: “Son reclamos directos al banco, donde hay esquemas de colusión de actores que colaboran directamente con una persona encargada dentro de la actividad bancaria, para que la transferencia no sea autorizada. De esta forma el dinero es regresado por un error o una mala aplicación de la misma”.
Desde la Policía Cibernética han detectado que en todas las instituciones bancarias ocurre este tipo de transferencias fantasma, en las que, dicen, no han detectado la colaboración de algún empleado. “Sin embargo, se siguen las investigaciones en todos los casos y no descartamos la probabilidad”, dice su elemento.
Sin embargo, el problema no sólo es la cooptación del personal, sino que las sucursales bancarias no cuentan con la rigurosidad para el filtro de sus empleados a través de la investigación o implementación de controles de confianza.
La mayor parte de los bancos tienen cierto personal que contratan a través de outsourcing. Realmente no conocen al personal. (Antes) para trabajar te iban a visitar a tu casa, le hablaban a tus familiares. Era todo un proceso de investigación. Ahorita hay mucho personal que rota, ni siquiera está en la misma sucursal siempre. Esto facilita al crimen organizado, que es quien hace esto, no es un ladrón común y corriente, son grupos de delincuencia organizada que contratan hackers y que tienen insiders en los bancos”, asegura el expresidente de la Condusef.
Venta de transferencias y apps espejo
Actualmente, cualquiera puede tener acceso a este tipo de defraudación fantasma, pues ya se comienzan a comercializar las apps o la edición de una imagen que simula ser una transferencia para enviar o mostrar la captura de pantalla.
“Gasparin. Con saldo reflejado en la cuenta receptora”, se observa en una publicación de Facebook. Otra mujer que se identifica ofrece lo mismo: “Transferencia fantasma se ve reflejada la cantidad en el saldo”, son los ejemplos de algunas publicaciones donde se ofertan.
En cuanto a la transferencia espejo, Manuel Aguilar detalla que es una réplica semejante de la app de los bancos, con elementos que son muy sencillos de realizar para diseñadores web y diseñadores de apps.
Es un pequeño diseño para poder mostrar un comprobante de transferencia, que se está realizando y te van a decir: ‘Mira ya lo mandé, te va a llegar en minutos’. La persona que lo recibe tiene la confianza de ver la captura de pantalla, incluso se la puede mandar por WhatsApp y le dicen que puede tardar unos minutos en llegar”, explica.
Ante este ciberdelito Juan Aguilar recomienda “transferir el dinero que se tiene inmediatamente a otra cuenta o tomar evidencia de la misma para evitar este tipo de acciones.
Al respecto coincide Daniel Cruz de la Policía Cibernética. “Verificar que el dinero ya se encuentra totalmente en nuestra cuenta, moverlo a algún otro número de cuenta, otra tarjeta o inclusive algún banco”, dice.