BBVA

Cuando los datos de tu tarjeta acaban en manos de estafadores

El BBVA Perú tiene cada vez más casos de clientes estafados bajo la misma modalidad: una teleoperadora con acceso a información sensible y un courier que visita el hogar. Las víctimas se están organizando. ¿Se ha privilegiado la venta de tarjetas de crédito a costa de la seguridad de las personas?

El zumbido no cesa sobre la mesa. Es el sonido de la insistencia. Un nuevo intento por ‘colocarle’ otra tarjeta de crédito del BBVA. Agotada, Jennifer Romero (25 años) cede y contesta la llamada. Del otro lado, una voz le indica que tiene aprobada una línea de crédito mayor a la que ya tenía con el banco. Se trata de la tarjeta VISA Bfree que, además, en su caso, no requerirá el pago anual de membresía. La joven ingeniera acepta. Son los primeros días de agosto.

Los bancos suelen tercerizar el servicio de telemarketing: la tarea de ofrecer sus productos financieros vía llamada telefónica. De hecho, entre los ‘contact centers’ –como se conoce a las empresas de este rubro–, los bancos están entre los clientes más codiciados, por el volumen de sus cuentas. Quien acaba de convencer a Jennifer Romero debe pertenecer a alguno de los contact centers’ contratados por el BBVA Perú (el nuevo nombre del antiguo BBVA Banco Continental, cuya propiedad comparten la familia Brescia Cafferata y el grupo español Bilbao Vizcaya Argentaria).

Luego de aceptar la tarjeta, Jennifer pide recogerla en la oficina del BBVA en Plaza Lima Sur, que le queda cerca de casa. La mujer al otro lado de la línea, sin embargo, le plantea la opción del envío por courier e insiste en ella. Según detalló el BBVA a Sudaca, la entrega de tarjetas de crédito en las oficinas del banco es excepcional. Se da a pedido del cliente, por ejemplo.

El courier es otro de los varios servicios que terceriza un banco. Junto con el telemarketing, son puntos claves en el proceso de venta de una tarjeta de crédito. También son posibles puntos críticos en un esquema de estafa que viene esparciéndose como mancha de aceite. 

La tarjeta llegó a la casa de Jennifer el 8 de agosto por la tarde. El mensajero le entregó un sobre de plástico (tamaño similar al A4) con documentos, que el banco llama ‘bolsa de seguridad’. También otro sobre pequeño donde venía el plástico de la tarjeta. Le hizo firmar un cargo de recepción.

Horas después, una llamada le precisó que debía llamar a la central telefónica del banco para activar su nueva línea de crédito. ¿Era esa una llamada del banco? No hay certeza todavía. Pero sí la hay en el siguiente acto de la historia: los que van a ingresar a la escena son estafadores.

Devuelva la tarjeta

Jueves 13 de agosto. “Señorita, respecto de la tarjeta que le acaban de entregar, la Visa Bfree…”, recuerda haber escuchado Jennifer, luego de que la voz dijera que llamaba de parte del BBVA. Esa voz, esta vez masculina, le explicó que se había cometido un error al entregarle una tarjeta y que esta sí exigía el pago de una membresía (de S/180). Jennifer respondió que una de las razones por las que había aceptado el plástico era la ausencia de este cobro.

—En todo caso lo que puede hacer es devolverla a la oficina central. 

—¿Pero tengo que ir hasta la sede central en San Isidro? 

—Sí. O, en todo caso, mejor le enviamos un courier.

La ingeniera ambiental recrea el diálogo para Sudaca y agrega que, según le indicaron, después de entregar la tarjeta equivocada le llegaría la correcta.

Suena demasiado ingenuo que alguien acepte entregar su tarjeta a un tercero de esta manera. Sin embargo, algo hizo la diferencia en esta historia y en otras cinco, que este medio ha recopilado en detalle y que son casi un calco una de la otra: los datos que manejaba su interlocutor. Además del tipo de tarjeta entregada originalmente, conocía la fecha y la hora en que se la habían dado y, lo más importante, el monto de la línea de crédito. “‘Le ha llegado el sábado a tal hora’, me dijo. Sabía mi línea de crédito, sabía mi dirección, sabía mis datos, sabía que yo ya tenía otras cuentas con el mismo banco. Entonces, yo por eso confié”.

2 de diciembre de 2020. Platón organizado por usuarios del BBVA Perú afectados por estafas. Foto: Luisa García Tellez.

El BBVA es titular de más de 20 bases de datos, según el Registro Nacional de Protección de Datos Personales, que depende del Ministerio de Justicia. Una se llama “Usuarios” y organiza, entre otros, los siguientes datos: los nombres y apellidos, el DNI, el RUC, el teléfono, el historial de créditos, las tarjetas de crédito, los bienes patrimoniales, las hipotecas, las deudas, los ingresos económicos y la huella digital de una persona. El banco comparte parte de estos datos con las empresas de telemarketing, y la normativa exige que lo haga previo conocimiento de sus clientes. Aunque Sudaca preguntó al BBVA concretamente qué datos, este no lo precisó.

El robo

Al día siguiente, el mismo interlocutor le avisó a Jennifer Romero que el courier estaba llegando y que debía entregar ambos sobres como los había recibido. Sostiene que no haber activado la tarjeta le daba también seguridad, por lo que efectuó la entrega.

Solo horas después, el BBVA le alertaría de que su cuenta estaba siendo vaciada. Aquí su recuento de ese momento:

Diez minutos antes de las 6 de la tarde, me llaman de nuevo, era un viernes. 

—Señorita, qué tal, ¿cómo va usando la tarjeta que le acabamos de entregar? 

—¿Es una broma? No entiendo.

Estaba sorprendida. No sabía quién me había estafado, si la señorita que me llamaba [ahora] o la persona que me había llamado antes. 

—No entiendo, ¿cómo que cómo la voy usando? 

—Sí, acá me figura que usted la está usando. 

—Pero si ustedes me han llamado ayer diciendo que la tarjeta que me han entregado está mal y ha venido un courier a recoger la tarjeta. Sabían todos mis datos y yo pensé que era la misma persona. 

—No, nosotros no hacemos eso, además acá me figura que usted está usando la tarjeta. Usted ha sido víctima de estafa, por favor llame y bloquee la tarjeta. 

Mientras hablaba con ella, ya eran las seis de la tarde y el banco no laboraba, ni el call center (sic).

Tres mil soles fueron sustraídos de la tarjeta que Jennifer creía inactiva, desde un cajero automático. Ese es el monto máximo que puede retirarse en un día por esa vía.

Del Facebook a las calles

Hans Cerrón, padre de tres niñas, y Jenny Surichaqui, comerciante de aluminio, sufrieron la misma modalidad de estafa. Ambos se sumaron al plantón que un grupo de clientes organizó, el pasado miércoles 2 de diciembre, en la sede central del BBVA Perú en San Isidro. El tipo de fraude parece haberse vuelto sistemático con clientes de ese banco. Allí también estaba Mary Pareja, con una pancarta que decía: “El BBVA no cumple con la Ley 29733 de protección de datos personales”. Ella fue a protestar por la estafa que sufrió su madre, de 60 años.

Mary Pareja afuera de las oficinas del BBVA Perú. Foto: Luisa García Tellez

El plantón fue organizado desde las redes sociales. El epicentro: un grupo de Facebook llamado “Víctimas del BBVA”, creado el 20 de noviembre y que rápidamente ha llegado a los 464 miembros. El muro del grupo, originalmente público, fue sumando múltiples testimonios de ciudadanos que hacen hincapié en por qué creyeron que era, efectivamente, el banco el que les solicitaba devolver la tarjeta.

A Hans Cerrón le pidieron que retornara la suya a mediados de octubre. Fue luego de que le insistieran para que la activase. De su interlocutora recuerda haber escuchado su tipo de tarjeta, su línea de crédito y los beneficios de compras que tenía. Él se acercó a un cajero, cambió allí la clave provisional que había recibido y activó la tarjeta.

Hans recuerda que la misma voz que le insistió en la activación de la tarjeta le llamó al poco tiempo y le dijo que el cambio de la clave no había surtido efecto, porque habían detectado que su firma no coincidía con la del DNI. Él ya venía con la duda de no haber firmado exactamente igual que en su documento de identidad. Decidió entregarla. Le sustrajeron el mismo monto que a Jennifer Romero: tres mil soles vía cajero automático.

Hans Cerrón, estafado en octubre. Foto: Luisa García Tellez.

A la diseñadora gráfica Clara Pacheco, de 33 años, le robaron la misma suma, bajo la misma modalidad de estafa. A diferencia de Romero, ella no era clienta del banco hasta que aceptó la tarjeta VISA Bfree. Ahí empezó su desgracia. Quien la llamó le preguntó por qué no había activado la tarjeta todavía y le dijo, incluso, que si no lo hacía se iba a generar el cobro de la membresía.

“‘Pero si no está conforme, lo puede devolver o puede cambiarlo por la nueva, que está cobrando cero membresía’, me dijo. ‘Bueno, entonces en todo caso anúlelo’, le respondí”. Aceptó el recojo vía courier y entregó su dinero a los estafadores.

La vacíos del BBVA, que responde (pero no todo)

¿Cómo el nombre de la tarjeta contratada, la línea de crédito, y la fecha y hora de entrega del plástico llegan a las manos de los estafadores? ¿No se trata, acaso, de datos que solo pueden conocer, a parte del cliente, el banco y las terceras empresas contratadas para los servicios de telemarketing y courierSudaca solicitó una entrevista al BBVA para hablar de esta modalidad de estafa, cuya propagación ha adquirido mucha mayor visibilidad durante la pandemia. Sin embargo, el banco solo aceptó responder preguntas vía un cuestionario escrito.

“Debido a la situación de pandemia, los ejecutivos [de telemarketing] que trabajan desde su domicilio utilizan equipos protegidos por un software que impide la descarga de la información, así como el uso de redes, correos personales, entre otros”, aseguraron en una de sus respuestas.

Quizás el lector también se pregunte lo mismo que este medio: ¿cómo estar seguros de que en efecto utilizan el equipo con ese software? ¿Cuál es el nivel de seguridad de un equipo que puede ser manipulado por fuera (al que se le pueden tomar fotos, por ejemplo) sin que nadie se dé cuenta? O, acaso, al lector le aparezca esta misma duda: ¿se ha privilegiado el interés por vender tarjetas de crédito a costa de la seguridad de los clientes?

“Los bancos tienen la obligación de tutelar que las bases de datos de sus clientes, que son bases que tienen datos sensibles, cumplan estándares de seguridad nivel crítico. Tiene que ser muy estricto”, explicó a Sudaca Dilmar Villena, abogado especialista en protección de datos personales y coordinador legal de Hiperderecho.

Según la Directiva de Seguridad emitida por la Autoridad Nacional de Protección de Datos Personales (APDP), este nivel implica, por ejemplo, que los usuarios que acceden a las bases de datos tengan un “identificador único de acceso”, que utilicen contraseñas o autenticación vía token, y un registro de ingreso que guarde, entre otros, la fecha y hora de ingreso y el motivo de acceso.

El banco, sin embargo, no quiso explicar las medidas de seguridad que toma para los datos de sus clientes. Se limitó a decir que los contratos que suscribe con sus proveedores tienen cláusulas especiales “que establecen las obligaciones y responsabilidades de cada una de las partes”. Y que en casos de mucha sensibilidad de la información, se toman “medidas de seguridad específicas”. No dio mayores detalles sobre cuáles.

“La central del courier cuenta con la información de contacto del cliente; mientras que el motorizado solo cuenta con el nombre y dirección”, dijo el BBVA sobre los datos de los clientes que comparten con las empresas de mensajería. Negó que en los documentos trasladados hasta los clientes figuren el nombre del tipo de tarjeta de crédito que está por entregarse y/o la línea de crédito otorgada.

Sin embargo, uno de los componentes del contrato que debe contener el sobre tipo A4 que los courier entregan a los clientes es la Hoja Resumen Informativa (HRI)Ella contiene las condiciones particulares de la tarjeta contratada: el nombre del tipo de la tarjeta, la línea de crédito, el costo de la membresía, entre otros datos. La HRI es una fuente de información importante, que coincide con la que los estafadores mencionan a los clientes del BBVA cuando buscan que ‘devuelvan’ su tarjeta de crédito.

La insistencia de los estafadores en que todo el contenido del sobre de plástico o bolsa de seguridad debe ser devuelto para anular la tarjeta y poder enviar otra aparece consistentemente en los testimonios recogidos.

Ni Jennifer Romero ni Clara Pacheco habían activado sus tarjetas y aun así sufrieron robos. ¿Cómo lograron activar las tarjetas los estafadores? Una de las formas de activación es “por vía telefónica, previa verificación de la identidad del cliente a través de una serie de preguntas”, señaló el banco. No resulta difícil pensar que con el sobre en mano y los datos desde antes conocidos, tuvieron la información para lograrlo. 

Sudaca preguntó concretamente por el protocolo de interacción entre el courier y el cliente; sin embargo, el BBVA obvió responder esa pregunta. Sí enfatizó los contratos que firman con sus proveedoras tiene cláusulas que les exigen “el cumplimiento del Código de Conducta del Grupo BBVA” a los proveedores” y “el respeto a la normativa legal”. También dijo que hay penalidades en caso el proveedor incumpla algún acuerdo.

Curiosamente, en otra de sus respuestas el banco subrayó que “este tipo de estafa no es nueva y la policía tiene conocimiento de este tipo de modalidad”. Si la modalidad es antigua, ¿por qué no ha hecho públicos los resultados de las investigaciones al respecto, sobre todo ahora que la cuarentena ha agudizado la aparición de casos? 

Hace un par días el testimonio de Elissa de Amat se hizo viral en Instagram y dio una evidencia más de lo sistemático de este tipo de estafa. Era sobre su experiencia en 2019 como clienta del BBVA, y víctima del mismo fraude.

“En tanto las denuncias lleguen a la autoridad de datos personales, la empresa podría decir ‘yo, como entidad financiera, diligentemente he tomado las medidas para ver qué es lo que está pasando’. Si es que se están filtrando [los datos de sus clientes] o no. No existe una obligación legal de investigar, pero deberían hacerlo”, dice el especialista Dilmar Villena de Hiperderecho.

Consultado explícitamente sobre investigaciones al respecto, cuya publicación ayudaría a calmar algunas aguas, el BBVA se limitó a responder: “Todos los casos son revisados siempre de forma integral”. Luego recalcó que advierte a sus clientes que el banco no ofrece el servicio de devolución de tarjetas vía courier.

La estafa subsiste en el silencio

Desde la Dirección de Protección de Datos Personales del Ministerio de Justicia señalaron a Sudaca que no declararían sobre el caso BBVA por ahora porque podría tomarse como un adelanto de opinión. La Asociación de bancos del Perú (Asbanc), así como la Asociación Peruana de Experiencia al cliente, que agrupa a los contact center que operan en el país, también declinaron de responder preguntas.

La división de estafas de la Policía Nacional tampoco respondió cuántas denuncias por este tipo de estafas a clientes del BBVA tenía en sus registros. En agosto último, la Superintendencia de Banca, Seguros y AFP (SBS) realizó la prepublicación del Reglamento para la gestión de la seguridad de la información y la ciberseguridad. El primero de este tipo en el país que exigiría incluir los riesgos asociados a la entrega de bien o servicio provisto por terceros dentro de la gestión integral de riesgos de la empresa. Ojalá su implementación aporte a evitar posibles casos de filtración de datos personales y estafas a usuarios de servicios financieros en el país.

El 1 de diciembre, Jennifer Romero recibió once correos del banco solicitándole que cancele su deuda de S/3.000, más los intereses que crecen rápidamente. Hoy continúa recibiéndolos. Clara Pacheco, después de cuatro meses, solo ha vuelto a recibir una comunicación del BBVA en el que le indican que siguen evaluando su caso. Tras hacer pública su protesta en el plantón, Hans Cerrón y Jenny Surichaqui han firmado con el banco un acuerdo extrajudicial de términos confidenciales, por el cual sus deudas han sido anuladas. Eso sí, nada compensará el daño psicológico ni la preocupación causados por las llamadas continuas de cobranza que recibían o el peligro de ingresar a Infocorp. Hay múltiples afectados que todavía las reciben.

Tags:

BBVA, Crédito, datos personales, seguridad digital, Tarjetas de crédito

Mas artículos del autor:

"Pesadilla en el BBVA: una clienta estafada y una carta amenazante"
"América Latina: A dónde va mi pensión"
"Esperanza en el avance de la vacunación de adultos mayores"
x