En caso de que reciba un dinero extra o realice un retiro de fondos de la AFP, cancelar o abonar de manera anticipada una deuda le permitirá, de acuerdo a la consultora financiera Al Día, tener una mayor capacidad de pago y acceder a mejores préstamos.
Con cada préstamo personal o deuda por tarjeta de crédito, al usuario financiero le asiste el derecho de realizar pagos anticipados, si así lo considera conveniente. Según el portal Banca para Todos de la Asociación de Bancos del Perú (Asbanc) un pago anticipado es el que permite amortizar directamente al capital, reduciendo intereses, comisiones y gastos al día del pago.
“Si la amortización es parcial, adicional a la reducción mencionada, el banco le solicitará que indique si el importe restante lo pagará en el plazo original; o, si incrementará el monto de la cuota disminuyendo el plazo del crédito. Por otro lado, el adelanto de cuota te permite tener un periodo de tiempo sin obligación de pago alguna respecto a tu crédito. En este caso, no se produce una reducción de los intereses, las comisiones o los gastos”.
La diferencia fundamental es que en el pago anticipado o “prepago” se paga una parte del capital y se recompone el cronograma de pagos, con menores intereses. En cambio, el pago adelantado hace que el cliente abone dos o tres cuotas antes de tiempo, con todo y los intereses que normalmente le corresponden como se programó al inicio.
Para realizar cualquiera de estas operaciones, los clientes deben manifestar expresamente su voluntad de efectuar un pago anticipado o adelantar el pago de cuotas, y las empresas deberán requerir y mantener una constancia de dicha decisión. Además, la fintech Solven.pe anota que para acceder a estos derechos el cliente debe estar al día con sus deudas.
Ventajas y precisiones
Aquellos deudores que deseen utilizar recursos como el retiro de fondos de las AFP para amortizar deudas, según la consultora financiera Al Día, tienen al menos cuatro ventajas: pagan menos intereses, vuelven a tener capacidad de pago, tienen una buena calificación crediticia y acceden a mejores préstamos y créditos por ser buenos pagadores.
Al momento de solicitar estos procedimientos es importante definir si lo más conveniente para nuestras finanzas es abonar al capital de la deuda o reducir el tiempo. En el primer caso se reduce la deuda total y los intereses, generando un ahorro considerable.
Estos cálculos serían distintos para el adelanto de cuota, que constantemente se confunde con el llamado “prepago”. De acuerdo a un informe de Indecopi entre los años 2015 y 2018, estos términos eran de los que más confusión generaban en los consumidores.
Según la directora de la Autoridad Nacional de Protección del Consumidor de Indecopi, Wendy Lesdesma, la confusión es mayor porque de acuerdo a la normativa vigente, para realizar el prepago se debe pagar desde dos cuotas a más del crédito.
“Si el consumidor dice que quiere hacer el prepago y paga solo una cuota, el banco no lo aplica así y lo considera como un pago adelantado. Pero si voy -por ejemplo- con cuatro cuotas como dice la norma, se tendrá menores plazos o se podrá reducir el monto que adeudo», indicó al diario Gestión.
Liliana Salvador paseaba por el Centro Comercial Jockey Plaza cuando alguien le ofreció una tarjeta de crédito con múltiples beneficios. La Tarjeta CMR, le explicaron, le permitiría obtener descuentos en todos los servicios que el Grupo Falabella ofrece a través de tiendas como Tottus, Sodimac o Saga Falabella. A Liliana la oferta le pareció tentadora. Sin pensarlo mucho, aceptó.
Desde entonces, hace ocho años, ella y su familia se han convertido en clientes habituales de Supermercados Tottus. “Al inicio, veía descuentos del 6% en comida o ropa y no me llamaba mucho la atención, pero un familiar que es más acucioso me dijo que valía la pena. Ahora vamos todos los martes, y también los sábados, por el 20% [de descuento] en carnes”, señala en conversación con Sudaca.
Liliana, sin embargo, ha tenido que ser extremadamente cuidadosa para evitar los intereses excesivos cuando se retrasa en sus pagos. Cada vez que retira efectivo con su Tarjeta CMR, se le aplica una tasa de interés de más del 50%. Lo ve como un recurso de emergencia que debe pagar sí o sí en una sola cuota a fin de mes. Si no, su deuda crecería descontroladamente. “Todo lo que compramos lo pagamos en una cuota, porque si pagas, como dicen, ‘en cómodas cuotas’, ahí sí se acumulan los intereses y la mora”, señala.
De acuerdo con la Superintendencia de Banca (SBS), alrededor de la mitad de tarjetas de crédito emitidas a nivel nacional están vinculadas a supermercados y tiendas por departamento. Es lo que se conoce como ‘retail financiero’. ¿Cómo funciona este negocio que atrae a tantos peruanos? Esta imagen nos da una pista.
Foto: Giuliana Fonseca.
“GRATIS” es la palabra que resalta el anuncio. Arriba, una condición: la compra por casi S/400 de productos de una marca específica. Debajo, un regalo: un pollo a la brasa con papas y gaseosa. Con esa claridad sobre los gustos gastronómicos de los peruanos aterrizó la Tarjeta Cencosud en el 2012.
Al crear un brazo financiero en el Perú, el grupo chileno Cencosud heredó la data acumulada por la exitosa Tarjeta Bonus. En seis años, sus tarjetas ya eran casi tantas como las emitidas por el Banco de Crédito del Perú. Su tasa de interés promedio −salvo pocas excepciones− no ha bajado del 70% en los últimos cinco años. En el caso de los otros ‘bancos retail’, Falabella y Ripley, la tasa se ha mantenido en la mayoría de los casos por encima del 50% y 60%, respectivamente, según data de la SBS.
Diseño: Leyla López.
Su apuesta para ‘colocar’ créditos no es una extensa red de oficinas bancarias, sino una de tiendas comerciales (retailers) a nivel nacional. Al vender carne para una parrillada, ropa o lavadoras, intentan vender, a la par, dinero al crédito. Y la ‘mina de oro’ está en los intereses. No se trata de entidades financieras a secas, sino de cadenas de tiendas que tienen a un banco o una caja de crédito.
“Lo que hace diferente a este negocio de los demás bancos, y que está más presente en Falabella, es que todo se queda en casa”, afirma Cecilia Ramírez, especialista en análisis de negocios y finanzas corporativas.
“Todas las promociones que brinda la tarjeta CMR son para los retailers de sus líneas de negocio. Por ejemplo, te dicen que por comprar una parrilla en Sodimac te regalan carne en Tottus. Eso es hacer ventas cruzadas. De esa manera generan ingresos no solo a la línea de tiendas para el hogar, sino también para el banco y así gana todo el grupo”, explica.
Entre 2012 y 2016, en promedio, el 95% de los ingresos de los bancos Falabella, Ripley y Cencosud provino de los intereses y comisiones que se les cobra a los clientes por el uso de las tarjetas. Así lo detectaron Cecilia Ramírez y Giuliana Fonseca a través de su investigación académica “El rol estratégico de la tarjeta de crédito en el modelo de negocio de las firmas chilenas en el sector retail peruano”.
El último jueves por la noche, sin embargo, una noticia sacudió las esferas del poder bancario. No fue la caída de alguna inversión en la Bolsa de Valores de Lima, sino la repentina obligación de ceñirse a un tope máximo en los intereses que les cobran a sus clientes de a pie, o pequeños consumidores.
Alrededor de las 7 p.m. el Congreso de la República aprobó por insistencia el proyecto de ley contra la usura financiera, que semanas antes había observado el Ejecutivo al considerarlo “perjudicial para la estabilidad del sistema financiero y la protección del ahorro de los depositantes” porque generaría “exclusión financiera, principalmente al pequeño consumidor y a la MYPE”. La gran crítica a esta medida de parte de los bancos, del Ejecutivo y de la SBS es que los alejará de prestarle dinero a las personas con menos recursos.
Si la medida se aplicara en el Perú de forma similar a como se aplicó en Chile, los bancos del retail financiero serán los primeros y más ‘perjudicados’. Planteado el debate, Sudaca retrocede un paso y vuelve la vista a las tarjetas de crédito y sus tasas de interés. Específicamente a las vinculadas a supermercados o tiendas por departamento, cuyo número de tarjetas de crédito supera ampliamente al de cualquiera de los 4 principales bancos del país.
Diseño: Leyla López.
El testimonio de un insider
El diseño de las ‘ventas cruzadas’ constituye el corazón del “mix” empresarial del retail financiero. ¿Qué tanto sabe este de nosotros y cómo? Muchísimo. Y se alimenta cada vez que, por ejemplo, Liliana Salvador elige “pagar con tarjeta”.
Cada vez que el cliente utiliza una tarjeta del banco del mismo grupo comercial, el grupo acumula información valiosa sobre los hábitos de consumo del usuario. Carlos −un nombre ficticio que utilizaremos para identificarlo− conoce esta trama a la perfección. Él diseñó estas ofertas por alrededor de dos años, como “analista de producto senior” en Banco Falabella. “Por la ley de protección de datos personales, no tenías acceso a los detalles, pero sí podías entender cómo se comportaban los clientes, hacer ofertas, y así aumentar la venta del retail”, dice.
Qué sueles comprar, cuántas unidades, cuánto dinero destinas a ello y con qué frecuencia, son datos que se suman al de tu edad y sexo. El área de inteligencia de clientes es la encargada de este minucioso seguimiento. “La información que se tiene es muy rica”, precisa. Un equipo de estadísticos sistematiza la información, con la que luego trabajan los analistas de producto para la creación de “campañas” en coordinación con los jefes comerciales.
“Muchas veces la reunión con [el área de inteligencia] era: ‘Quiero reunir gente con esta categoría, o por temporadas’. Por ejemplo, si querías hacer una promoción de piscinas inflables, entonces preguntabas por los clientes con hijos. Puedes identificar quiénes tienen hijos de esta edad, [al conocer] quiénes compran pañales, o quienes compran biberones. Tienes información de Saga, Tottus, Sodimac, entonces es mucha información. Información sobraba”, dice el exanalista sobre la etapa de elaboración de una campaña.
Luego de identificar los clientes potenciales, le sigue la ejecución de la comunicación. “Por ejemplo, si tienes un proyecto en el hogar, [se sabe que] primero compras fierros, después tuberías, después pintura. Entonces si en Sodimac encuentro que un cliente compra fierros, le puedo mandar [vía e-mail] ofertas con la tarjeta para los siguientes niveles, porque sé qué es lo que va a comprar después”, cuenta Carlos.
“Sabemos los resultados, porque las herramientas que envían e-mails saben quiénes abrieron tus e-mails, y tengo un identificador. Durante la campaña busco si las personas han comprado en esta categoría. Así se hacen los famosos cash-backs, si una persona compra en una campaña, le devuelvo un dinero”, precisa.
El analista tenía como objetivo, en sus propias palabras, “aumentar la participación de la Tarjeta CMR dentro de Sodimac y Maestro”. Como él, había otros dos “analistas senior” enfocados en Saga Falabella y en Tottus e Hiperbodegas.
“Yo estaba en el Banco Falabella, encargado de ver la tarjeta de crédito CMR. ‘La participación’ significa principalmente cuánto de la venta del retail [Sodimac y Maestro en este caso] es hecho con la tarjeta de crédito. Mi objetivo principal era incrementar el uso de la tarjeta a través de promociones y acciones [de seguimiento de necesidades de consumo]”, precisa.
El beneficio para el banco es claro: a más créditos colocados, más intereses por cobrar. ¿Cuál sería el beneficio para la tienda? Primero, más decisiones de compra al acceder a un descuento o un pago fraccionado usando la tarjeta. Pero también hay un beneficio monetario.
“Dentro del Grupo Falabella, hay múltiples ventajas. Para el retail, la ventaja es principalmente que el banco pagaba una especie de ‘bono’ por la participación que llevaba. El Banco Falabella pagaba a Sodimac. Era en función de las múltiples variables, tenían su propio algoritmo. Teníamos 20–30% de participación de tarjeta [CMR], a Sodimac le convenía tener más de 30%. La plata quedaba dentro del Grupo Falabella”, detalla el exanalista de producto.
Sudaca envió un cuestionario detallado al Banco Falabella, pero decidieron evadir nuestras preguntas. “Somos una empresa del Grupo Falabella, con indicadores distintos al sector retail, pero que compartimos el objetivo de ayudar a las personas haciendo posibles sus aspiraciones a través de una oferta integrada de servicios financieros, potenciados por los beneficios del ‘Mundo Falabella’”, se limitaron a decir.
Caja Cencosud también evitó contestar las preguntas de este medio. Subrayó, sí, su disconformidad con la ley de los topes a las tasas de interés. Banco Ripley precisó simplemente que no participarían del reportaje.
La respuesta del gremio bancario y la experiencia chilena
“El retail es una ciencia, es un punto de venta donde lo que más importa es que el metro cuadrado disponible sea rentable”, resumía para la investigación “Chile en cuotas” (2012) un ex ejecutivo de una de las multitiendas más poderosas del país sureño. Una ciencia sobre la que hay poca conciencia entre los usuarios.
Diseño: Leyla López.
De acuerdo con el exanalista de producto de Banco Falabella entrevistado con reserva para este informe, el objetivo principal es que el usuario pague con la tarjeta y el secundario es aumentar el número de clientes que compra en cuotas. ¿Y la morosidad? “Es un riesgo que siempre hay y siempre se tiene que medir. Pero el riesgo es mucho más bajo que la ganancia que vas a tener. (…) Cuando yo estuve en el banco, lo tenían muy bien controlado”, cuenta.
Los intereses se dividen, principalmente, en dos tipos: los compensatorios y los moratorios. Los compensatorios corresponden al pago adicional al que se compromete el cliente a cambio del préstamo recibido; los moratorios, a la indemnización percibida por el banco debido al retraso en las cuotas pactadas. Ambos tipos de intereses son establecidos por el banco en base a criterios como el monto del crédito o el riesgo que representa el cliente.
La ley aprobada por insistencia en el Congreso recientemente no precisa el mecanismo por el que las tasas máximas serán establecidas. Sin embargo, la Asociación de Bancos del Perú (Asbanc) está convencida del futuro efecto. ”Los límites máximos dejarán a entidades financieras sin la posibilidad de seguir prestando”, sostiene categóricamente en una respuesta por escrito a las preguntas de Sudaca. “(…) el número de entidades que sean finalmente afectadas y por ende el número de clientes que vean restringido su acceso a crédito dependerá del nivel del límite que se fije”, asegura la entidad.
Asbanc evita responder sobre la estrategia comercial de los bancos vinculados a las tiendas retail. Una de las pocas armas para ir contra los altos intereses en este sector es la tasa de costo efectivo anual de las tarjetas de crédito, la TCEA. Esta representa el costo total del crédito, pues considera además de la tasa de interés, comisiones y gastos que son cargados a tu cuenta. Su fórmula de cálculo es establecida por la Superintendencia de Banca (SBS).
En 2012, ASBANC lanzó la campaña «Hablemos más simple» con la TCEA como una de sus protagonistas. De hecho, resaltó su éxito en su memoria de aquel año. Hoy, en medio de la discusión sobre las altas tasas de interés, prácticamente se desdice. “Las tasas de costo efectivo anual (TCEA) de las tarjetas de crédito no reflejan el costo real que pagan los clientes”, señala. «(…) esa fórmula frecuentemente sobrestima la tasa», agrega.
La experiencia chilena con la imposición de topes a las tasas de interés mostró un efecto irrefutable: los bancos que notablemente empezaron a emitir menos tarjetas de créditos fueron aquellos asociados a una tienda por departamento, según reportó la Cámara de Comercio de Santiago el 2016.
Para el economista Tomas Flores**, ex subsecretario de economía del gobierno de Sebastián Piñera, el cambio regulatorio en el país sureño fue uno de los motivos para que Cencosud, por ejemplo, decidiera venderle su banco a Scotiabank (algo que tiempo después replicaría en nuestro país). En el Perú hoy son una Caja Rural de Ahorro y Crédito.
Sin embargo, en su opinión, el negocio del retail financiero aún tendría terreno fértil en nuestro país por la cantidad de potenciales clientes, muy superior al caso chileno, y por el crecimiento económico. Esboza también otra razón: nuestra “miopía financiera” por la que las estrategias de marketing del retail aún nos ganan la batalla frente a las “pequeñas cuotas” que parecen inofensivas. “No me extrañaría nada que les estuviesen cobrando créditos de más del 50% de interés”, sostuvo al ser consultado antes del cambio normativo en Perú y como hemos visto, no se equivocaba.
*Con la colaboración de Camila Ossadón.
**Esta entrevista inédita (realizada en octubre de 2017), así como otras en este reportaje, fueron realizadas como parte de un proyecto de periodismo transfronterizo coordinado desde la Pontificia Universidad Católica de Chile por la profesora Paulette Desormeaux y desde la Pontificia Universidad Católica del Perú por la profesora Hildegard Willer.
“Saldo insuficiente”, decía el aparato. Era su turno de pagar en la cola del supermercado y la cajera le dio la noticia. Mayra Moncada desbloqueó su celular, ingresó a su Banca Móvil y vio allí el registro de dos movimientos recientes que no recordaba. Eran dos transferencias de dinero por S/280, hechas desde Yape, la billetera móvil del Banco de Crédito del Perú (BCP), que permite enviar dinero con solo saber el número telefónico del destinatario afiliado a la aplicación. Para salir del problema, aunque confundida, Mayra tuvo que pagar con su otra tarjeta.
“Saldo insuficiente”. Violeta Ordoñez, (usaremos un seudónimo a pedido de ella), recibió ese mismo mensaje en la ventanilla de una de las agencias del BCP. Le informaron que S/1.900 habían salido de su cuenta a través de quince ‘yapeos’. Su recelo frente a atajos digitales, hacía que retirar su dinero por ventanilla fuese su elección constante. “Yape”, “yapear”, “yapera” o “yapéame”, le resultaban palabras extrañas. Ni había descargado ni se había afiliado a la aplicación del BCP, lanzada al mercado en 2017 y promocionada este año pandémico como una vía ‘segura’ para evitar el contacto con el efectivo.
No lo sabían en su momento, pero ambas serían parte de las decenas de casos de ‘yapeos’ o transferencias fraudulentas que provocaron un comunicado público del banco el último 16 de diciembre. Para entonces, múltiples testimonios habían aparecido en Facebook e Instagram, y Twitter se había vuelto un hervidero de usuarios que denunciaban operaciones no reconocidas. Se trataba de transferencias que habían sido realizadas a través de Yape, no por los clientes, pero con cargo a sus cuentas bancarias en el BCP.
Sobre los comentarios circulados en los últimos días sobre el BCP y Yape, queremos comunicar lo siguiente: pic.twitter.com/brUCvkvqru
Han transcurrido diez días desde ese comunicado y el escándalo mediático se ha apagado lentamente. Sin embargo, los clientes que fueron afectados (y el público en general) aún no han sido informados en detalle sobre cuál fue el fallo en la seguridad de la aplicación y qué medidas se han tomado para revertir esa brecha. Lo único que pone el BCP en su comunicado es que ha “reforzado de manera inmediata” sus “protocolos de afiliación a Yape”. No detalla cómo, ni exactamente qué falló.
Sudaca solicitó entrevistas con representantes del BCP, Yape y la Superintendencia de Banca (SBS), pero ninguno de estos tres actores clave accedió a hablar. El BCP aceptó responder preguntas por escrito, pero luego de recibirlas dijo que por falta de tiempo no las contestaría. Yape señaló que el comunicado del miércoles 16 se mantenía como la única comunicación oficial que emitirían sobre el caso. Y la SBS únicamente precisó que estaba “viendo que se le devuelva el dinero a todos los afectados. No solo a los que denuncian, sino a todos”.
El último sábado, Violeta Ordoñez presentó su reclamo al BCP y continúa a la espera de una respuesta. A Mayra Moncada el BCP le depositó el dinero de los dos “yapeos” no reconocidos, pero con ello no le devolvió la confianza en la seguridad de sus productos. Retiró inmediatamente todo el saldo de su cuenta sueldo en el banco y continúa preguntándose cómo terceros tomaron el control de su dinero. “Debo agradecer que el banco respondió a mi reclamo, pero no me explicaron qué pasó”, precisó en uno de sus tuits al BCP.
Una vulnerabilidad con antecedentes
No es necesario ser titular de la línea del teléfono que se afilia a Yape: esa fue la primera vulnerabilidad advertida por los especialistas que ha consultado Sudaca. Y la primera puerta abierta para lo que el propio banco mencionó en su comunicado: “Algunos clientes del BCP que no estaban afiliados a Yape fueron afilados por delincuentes a este servicio en celulares de terceros, sin su consentimiento”.
Carlos Guerrero, abogado especialista en temas de ciberseguridad, identificó un patrón entre el caso de Yape y lo que ocurrió en mayo con el Bono Familiar Universal (BFU) que repartió el gobierno, cuando terceros cobraron bonos que no les correspondían. ¿Cómo? Luego de burlar el primer cerco de seguridad, al ingresar los datos requeridos del DNI, los delincuentes consignaban cualquier número de celular para recibir la clave que finalmente les permitía cobrar el dinero.
Para más detalles, en el artículo “Lo que nos enseña la suplantación y robo a los beneficiarios del Bono Familiar Universal“, Miguel Morachimo, máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford, detalla el paso a paso del delito. Tras una ola de reclamos, el Ministerio de Inclusión Social incorporó el requisito de que el beneficiario del bono debía consignar un número de celular del cual él fuese el titular o lo fuese un familiar.
“Si en el BCP hubieran tomado esa precaución, esta situación [las transferencias fraudulentas a través de Yape] no podría haber ocurrido. Es eso lo que habría hecho la diferencia, porque no habría sido posible que un tercero, aun con toda la información robada, pueda transferir dinero desde Yape”, dijo Carlos Guerrero.
Genghis Ríos, director de transformación digital del departamento de Ingeniería de la PUCP, sugirió una segunda opción para reducir la posibilidad de que delincuentes afilien y suplanten a clientes del banco: permitir que los usuarios solo puedan afiliarse a la billetera móvil con un número previamente registrado en el BCP. Esto serviría para aquellos casos de personas que, por la razón legal que fuere, utilizan un celular registrado a nombre de una empresa -en la que trabajan, por ejemplo- o de otra persona.
Surge la interrogante, entonces, sobre qué predominó al interior del banco al momento de desarrollar candados para su billetera móvil: si el objetivo de sumar más yaperos a los millones que ya tienen o el de brindar el más alto nivel de seguridad a sus clientes.
¿Y qué predomina ahora, que la aplicación ya fue vulnerada? Que el BCP y Yape coloquen alguna de las dos restricciones mencionadas (u otras de ese tipo) luego de lo sucedido en el caso del Bono Familiar Universal o, al menos, luego del perjuicio reciente a sus clientes sería lo esperable. Sin embargo, Sudaca pudo constatar que no lo han hecho. Este medio hizo seguimiento al caso de una clienta del BCP que se afilió a Yape esta semana desde la línea telefónica de un tercero, sin inconvenientes. La falta de precisión del banco en explicarle a sus clientes qué falló y exactamente cómo lo han solucionado, además de su negativa a dar una entrevista, abre la puerta a muchas preguntas y pocas certezas sobre la seguridad actual del aplicativo.
De acuerdo con la experiencia de la clienta mencionada, cuyo nombre permanecerá en reserva por temor a alguna represalia del banco, las únicas medidas de seguridad tomadas son permitirle ‘yapear’ al usuario recién después de 48 horas de su afiliación y enviarle paralelamente un mensaje de texto al titular de la tarjeta. El SMS le notifica que su plástico fue registrado en Yape y le sugiere bloquearlo de no reconocer dicha afiliación.
Mensajes recibidos por la usuaria que se afilió con una línea de la cual no es titular y que este medio monitoreó.
Ese, sin embargo, es un aviso que puede perderse si el titular de la tarjeta no visualiza el SMS, ya sea por distracción, porque tuvo apagado el celular o, incluso, porque le robaron el celular o dejó de utilizar el número al que el BCP le escribió.
La ausencia de dos niveles de seguridad
Ríos, del departamento de Ingeniería de la PUCP, analizó para Sudaca los Términos y Condiciones de Yape y evaluó cuán segura es su forma de solicitar al usuario que certifique fehacientemente, o autentique, su identidad al afiliarse al aplicativo. “En el contexto de la autenticación [digital] existen hasta tres métodos: “Lo que sé”, como una contraseña; “Lo que tengo”, como un token, por ejemplo; y finalmente “Lo que soy” que se refiere a la biometría, con el reconocimiento digital de alguna parte del cuerpo humano. Esos tres juntos representan un nivel bastante fuerte de autenticación del usuario”, explicó el ingeniero electrónico.
Para aquellos que se afilian a Yape con una tarjeta de débito o crédito del BCP, los datos solicitados son, además del número de DNI: 1) el número de dicho plástico, 2) su fecha de vencimiento y 3) la clave de cuatro dígitos del cajero. El usuario establece además una clave de seis dígitos que tendrá que ingresar para efectuar cada ‘yapeo’. “Todo esto se queda en el nivel de ‘lo que sé’”, precisa Ríos y agrega que para una entidad, en este caso el BCP, ese es el nivel más fácil de implementar de los tres.
“Señorita, no entiendo cómo han podido obtener esos datos. No lo entiendo. Si la tarjeta ha estado conmigo”, recuerda haberle dicho Mayra Moncada a la teleoperadora que le ayudó a bloquear su tarjeta luego del inconveniente en el supermercado. Esa pregunta abre un abanico de posibilidades. Por ejemplo: que los delincuentes hayan obtenido ilícitamente bases de datos de los números de las tarjetas y los datos personales de sus titulares; que hayan conocido las claves secretas a través del envío de mensajes falsos (conocidos como pishing, vía correos electrónicos, o mishing, vía SMS), supuestamente del banco, que solicitan la actualización de la clave del cajero; o que hayan usado un algoritmo para probar distintas combinaciones hasta dar con el número correcto.
Sumar a una contraseña el uso de un token a través de un dispositivo externo brindado por el banco correspondería al segundo nivel. El reconocimiento de una huella digital mediante la tecnología biométrica ya disponible en muchos smartphones completaría el tercero, detalla Genghis Ríos. Y advierte que en los Términos y Condiciones del aplicativo solo figura la incorporación de la biometría digital como una posibilidad futura. “Al menos para los usuarios que sí tienen ese tipo de celular [de gama alta, que les permite el reconocimiento dactilar] sería ideal que se pueda activar esa opción”, opina.
Tan solo este año el uso de Yape ha crecido 700%, alcanzando más de 25 mil nuevos usuarios diarios, según declaró a finales de noviembre un vocero del banco a Andina. Solo ese mes se esperaba mover más de un billón de soles. Con esas dimensiones, mejorar la seguridad del aplicativo en distintos niveles debería pasar a ser una prioridad en su estrategia de desarrollo.
La YapeCard
En su comunicado anual a todos sus clientes, el gerente general del BCP, Gianfranco Ferrari, sostuvo que en el 2020 se enfocaron “en lanzar nuevas funcionalidades pensando en facilitarles la vida de manera segura, rápida y fácil”. Por eso, agregó: “Lanzamos YapeCard, para apoyar a las personas no bancarizadas e incluirlas financieramente por primera vez en sus vidas”. La tarjeta permitía abrir un Yape sin vincular la cuenta bancaria del cliente, lo que constituía una opción para aquellos que querían tomar una medida extra de precaución.
Sin embargo, ni eso fue suficiente garantía. Mayra Moncada cuenta que meses antes de sufrir los robos, se había afiliado a Yape con su DNI, y que realizaba las transferencias a través de la YapeCard. “Precisamente porque no quería tocar mi cuenta, yo solamente me registré con mi DNI y con la modalidad de la YapeCard, una tarjeta tipo prepago que debía ser recargada”.
¿Qué pasó? Para que los yapeos aparezcan en el registro de movimientos de su Banca Móvil BCP —es decir, sean cargados a su cuenta bancaria— los delincuentes habrían generado otra afiliación a Yape, solo que esta vez con los datos de su tarjeta, explican los expertos.
Muy posiblemente quienes fueron víctimas de estos robos vía Yape y tenían contratado el “Seguro de Protección de Tarjetas” pensaron que estaban cubiertos ante este tipo de eventos. Pero se dieron contra la pared.
Recién este año, en febrero, la aseguradora Pacífico, compañía vinculada a la misma familia que dirige el BCP y con la que trabaja el banco, lanzó al mercado el “Seguro de Protección de Tarjetas Plus” que sí ofrece la cobertura de este tipo de robos por un máximo de S/15 mil, precisó a Sudaca Carlos Acosta, abogado especializado en seguros y máster en economía y derecho de consumo por la Universidad de Castilla-La Mancha.
La póliza del nuevo seguro consigna: “Transferencias de dinero no reconocidas por el asegurado realizadas a través de canales virtuales válidos y proporcionados a su favor por el BANCO DE CRÉDITO DEL PERÚ” a raíz de robo, hurto, pérdida o cambiazo de tarjetas, secuestro o fraude por internet.
“Eso es importante porque esta connotación es algo que no estaba presente en el anterior seguro. Es decir, estamos ante una cobertura distinta y nueva”, consideró Acosta, quien a su vez llamó la atención sobre que este nuevo seguro solo cubre un evento de este tipo al año.
“Parece chiste decir que ellos cuidan mejor tu dinero que el BCP pero relativamente es cierto”, escribió una usuaria de Twitter este miércoles, solo unos minutos después de la comunicación del gerente general del banco Gianfranco Ferrari con sus clientes. Jimena Rodríguez acompañaba sus 92 caracteres con la foto de estas alcancías.
Foto: Jimena Rodríguez
De acuerdo o no con Rodríguez, se trata de la sensación de desconfianza aún presente en redes sociales. En el mismo muro de Facebook donde Yape festejaba, el 11 de diciembre, haber llegado a los cinco millones de yaperos hoy abundan los comentarios solicitando con urgencia la desafiliación del aplicativo.
Aunque los bancos no abren los domingos, esta entrevista ocurrió en la sede central del BBVA Perú, el 13 de diciembre por la mañana. Dos días antes, Sudaca reveló que clientes del banco eran robados por estafadores con un poder de conocimiento singular: sus líneas de crédito, tipos de tarjetas adquiridas, y el día y la hora en que les fueron entregadas. Puede leer el artículo completo en este link. El banco aceptó entonces dar la entrevista que antes había descartado.
Víctor Mendoza, principal manager del Área de Prevención de Fraude, respondió las preguntas de este medio sobre la modalidad de estafa que ha cobrado gran visibilidad durante las últimas semanas y que pone en escena a una falsa teleoperadora del banco y un falso courier. Mendoza lleva 18 años como parte del BBVA Perú y lidera las todas investigaciones de fraudes que afectan a la entidad financiera.
¿Cuándo empezaron a recibir los primeros reclamos sobre esta modalidad de estafa del falso courier?
Los reclamos figuran en la página web del banco pero, haciéndote un bosquejo, estos casos ya tienen aproximadamente un año, un poco más. El BBVA no tiene muchos reclamos con relación a esta tipología, pero los invito a que accedan a nuestra página web, está publicada ahí la cantidad de casos. Hemos coordinado también directamente con las autoridades en relación a esto y nos estamos enfocando mucho en la enseñanza a nuestros clientes, a que ellos mismos también participen con nosotros con las medidas de seguridad.
He accedido a la sección que menciona de la web, y este tipo de estafas entraría en la categoría de operaciones no reconocidas, que aparece sin desglosar. Dentro de esa categoría, ¿cuántos casos de estafa de la modalidad del falso courier han mapeado?
El número sería bueno evaluarlo y proporcionarlo mediante un correo, mediante un escrito. Ahora, en esta entrevista, no te podría hacer llegar un porcentaje de cuántos reclamos por esta tipología tenemos. Pero sí nos podemos comprometer a precisarlo mediante un correo electrónico. Lo que sí te quería decir es que cada caso se evalúa en particular: qué pasó, qué tipo de cliente, para dar una respuesta personalizada a nuestros clientes con relación a esta tipología.
[Nota de Sudaca: Al cierre de esta edición, el BBVA Perú no proporcionó el número de reclamos sobre la modalidad del falso courier reportados por sus clientes. Ya lo habíamos preguntado también en una primera ocasión el 7 de diciembre, vía cuestionario escrito]
¿Han hecho o piensan hacer una investigación transversal a todos los casos reportados de esta modalidad de estafa? ¿Tienen conclusiones?
Siempre estamos haciendo una investigación exhaustiva de eso y en la actualidad también nos encontramos inmersos en una investigación sobre lo que acabas de mencionar.
¿Pero podría contarle a la gente cuáles son las conclusiones?
Claro que sí. Como te había mencionado, cada caso es distinto al de los otros clientes, pero en la misma modalidad. Estamos investigando desde un inicio cómo se entregó esa tarjeta, qué courier entregó y todas las medidas de seguridad que tienen las empresas que trabajan con nosotros como son las de las fuerzas de ventas y el courier, pero sí estamos haciendo una investigación interna. Había leído en la nota lo del tema de fuga de información y quiero dejar claro que eso lo niego tajantemente, porque el banco siempre está en continuas auditorías y sobre todo en investigaciones internas. Negamos ello. No existe una filtración de información. Ninguno de nuestros proveedores podría realizar este tipo de entrega de información. Por ello las visitas y las auditorías, y sobre todo los contratos que tenemos con ellos de cláusulas de penalidad.
¿Exactamente cuál es la teoría del banco sobre cómo los estafadores acceden a estos tres datos: línea de crédito, el tipo de tarjeta que acabas de adquirir, y el día y la hora en que fue entregada?
Dos respuestas. La primera es que desde que nosotros le ofrecemos un producto a nuestro cliente, cuando lo contactamos le solicitamos su autorización con relación a su información. Es decir, su nombre, su dirección y su teléfono. Antes de ofrecerle nuestro producto, ellos nos confirman la autorización [para tratar] esta información, y ahí procedemos a la venta de un producto.
En el segundo eslabón, cuando nuestro cliente va a recibir una tarjeta, solamente él sabe qué tipo de tarjeta va a recibir. La persona que entrega, el courier, no sabe ni la línea de crédito, ni el tipo de tarjeta. [Todos] somos diferentes tipos de clientes para el banco, de acuerdo a la calificación que podamos tener en la Central de riesgo [de la Superintendencia de Banca] o en distintos bancos. Entonces, la línea y el tipo de tarjeta solamente lo conoce el cliente, no la persona que entrega ni que se contacta a ofrecerle un producto al cliente. Y con relación a la información que el cliente le proporciona a estos delincuentes, hay que tener muy en claro también que nosotros como banco, a la par que estamos muy preocupados, también somos víctimas de esto porque están tocando a lo más importante para nosotros, que son nuestros clientes.
Cuando te llaman para ofrecerte una tarjeta, por supuesto que sí te especifican cuál sería tu línea de crédito. En base a eso es que uno acepta. Eso lo pueden cotejar los lectores. Por otra parte, las llamadas de estafa se dan luego de que el cliente ya recibió la tarjeta, y sabe que el banco tiene un registro de cuál ha contratado cada persona, qué línea de crédito se le ha otorgado y también en qué momento. Al contestar la llamada y escuchar estos datos, esta información juega un poder de convencimiento importante.
Pero le entregan al final la tarjeta, pues. O sea, ahí se desvirtúa un poco lo que tú bien indicas. La hipótesis se desvirtúa totalmente porque al final el cliente entrega la tarjeta y la clave.
La entrega evidentemente se da, sino no se efectuarían las estafas y no estaríamos hablando de ellas. Pero el caso no es ese, sino que se da precisamente porque quien llama tiene esa información sensible previamente. Aparte, la pandemia juega un rol importante. El estafador le dice al cliente que hay un concepto nuevo por el que debe pagar, este se muestra inconforme. “Si usted no desea el producto, puede anular la tarjeta pero debe debe devolverla a la sede central”. El cliente expresa que no desea arriesgarse a un contagio de Covid-19 y el interlocutor le ofrece, como un favor, enviar un courier. Entonces la persona acepta.
Nosotros tenemos más de cuatro millones de tarjetas a nivel nacional. Entonces ahí se desvirtúa un poco el que se pueda filtrar alguna información o de que el banco no ponga de conocimiento a nuestros clientes las medidas. Es decir, antes de ofrecerte el producto, también se le señala al cliente que el banco jamás llama a solicitar la entrega de la tarjeta, el banco lo que hace es ofrecerte un producto, pero yo jamás te voy a llamar para que tú me entregues ese producto, jamás, ni por teléfono, ni por mensaje, ni por mail.
¿Cuál es su hipótesis, entonces, sobre cómo los estafadores obtienen los datos que le he mencionado [tipo de tarjeta, línea de crédito y fecha en la que fue contratada]?
Nuestra hipótesis es que estos delincuentes están totalmente preparados [para engañar], que persuaden a nuestros clientes para que [les] brinden alguna información confidencial.
¿Los tres datos, según su hipótesis, estarían siendo entregados por el cliente sin darse cuenta? Eso no es lo que arroja la sistematización de varios casos que hemos recogido en detalle.
Es la ingeniería social que los delincuentes tienen para sacarles esa información a nuestros clientes.
Sobre el tema del telemarketing, entiendo que tienen un área interna del banco y que además tercerizan el servicio.
Tenemos un área interna y también externa. Nos valemos, como te había comentado al inicio de esta entrevista, de contratos y de cláusulas de penalidad con relación a la información de nuestros clientes para ofrecer los productos del BBVA. Y siempre están en constante auditoría, siempre están en constante visita, en capacitación.
Entonces, en cuanto a los teleoperadores que trabajan desde el banco y las medidas de seguridad que siguen. ¿Tienen cámaras en los espacios donde ellos trabajan? ¿El software que utilizan por qué sería seguro?
Si es dentro del banco, sí existe el tema de las cámaras y las medidas de seguridad que podamos tener con relación a la información de los clientes. Pero ahora por la pandemia, la mayoría está haciendo un teletrabajo dentro de la casa y ahí es lo que te vuelvo a mencionar los software de seguridad que podemos tener. Todos nuestros sistemas están bloqueados, nadie puede inyectar un USB en la computadora para poder sacar algún tipo de información. Nadie, ni el que te habla tiene acceso a ingresar un USB en la computadora. Está prohibido. Ni el gerente general del banco puede acceder.
Entonces, esto es en cuanto a medidas de seguridad de los teleoperadores que trabajan acá en las oficinas del banco.
Acá o en la empresa tercerizada que se puede contratar.
En ambos casos, las medidas de seguridad son: las cámaras, un software que no permite la entrada de un USB para descargar la información y la grabación de las llamadas. Eso suena a que puede funcionar en un espacio como el banco, incluso en un call center. Pero, ¿cómo resguardan ese mismo nivel de seguridad en las casas de los teleoperadores, donde no tienen cámaras? Porque no las tienen, ¿verdad?
No.
¿No tienen cámaras y tampoco uno no puede saber si está utilizando el computador con ese software que evita las descargas?
Tiene que usar ese computador porque se tiene que loguear, tiene una identificación. Tú no abres tu computadora, la prendes y trabajas. Tú tienes que poner tu clave, tienes que poner tu contraseña y tienes que entrar a este software especial. Es decir, tú no puedes alegremente decir: yo voy a trabajar desde el Ipad de mi hijito, eso no se puede hacer.
¿Cómo evitar, por ejemplo, una intervención externa como una fotografía a los datos? ¿Ese tipo de cosas pueden controlarse en el caso de un teleoperador trabajando desde casa?
Esa analogía que haces, la verdad, no la compartimos como BBVA, dado que hasta los mismos colaboradores que trabajan en nuestras oficinas tienen acceso a información. Pero por ello, ahí va el tema de la enseñanza y de la seguridad que le brindamos a nuestros clientes, para que tengan total conocimiento de este tipo de modalidades [de estafa].
Nosotros tenemos oficinas a nivel nacional, nuestros ejecutivos y colaboradores también tienen acceso a la información de nuestros clientes, pero no tenemos ni un caso, menos aún de esto, de que se filtre información dentro de la casa y menos de los proveedores que trabajan para nosotros, por las cláusulas de penalidad que te digo. O sea tú me dices que pueden acceder, pueden tomar una foto, pero en las oficinas también podría pasar ello, pero no pasa debido a que también tenemos las medidas de seguridad correspondientes con nuestros clientes.
¿El banco no evaluó incluir, por ejemplo, una nueva cláusula a los contratos que dijera que por seguridad del cliente los teleoperadores no trabajarían desde casa, aunque eso significase reducir las fuerzas de ventas y vender menos tarjetas?
Desconozco si se ha evaluado eso o no, pero nosotros trabajamos con la buena fe de las empresas que representan al BBVA, en este caso, para ofrecer determinados productos.
En el caso de los clientes que realizaron un plantón en esta sede central el 2 de diciembre, a algunos se les han anulado las deudas generadas por las estafas. ¿Por qué han necesitado firmar acuerdos extrajudiciales y qué condiciones contienen estos?
Nosotros no exigimos nada, simplemente en la transacción le decimos al cliente que estamos llegando a un acuerdo con él, pero no hay ninguna exigencia y tampoco se le obliga al cliente a firmar la transacción. Se invita, se conversa con el cliente, se llega a un acuerdo y se firma un documento en que conste dicho acuerdo, a eso se le denomina una transacción.
¿Habría algún problema con conocer el texto de esos acuerdos extrajudiciales o hay una cláusula de confidencialidad en ellos?
Es que tendría que ver la transacción. Como te digo, eso lo ha manejado directamente servicios jurídicos.
