Aunque los bancos no abren los domingos, esta entrevista ocurrió en la sede central del BBVA Perú, el 13 de diciembre por la mañana. Dos días antes, Sudaca reveló que clientes del banco eran robados por estafadores con un poder de conocimiento singular: sus líneas de crédito, tipos de tarjetas adquiridas, y el día y la hora en que les fueron entregadas. Puede leer el artículo completo en este link. El banco aceptó entonces dar la entrevista que antes había descartado.
Víctor Mendoza, principal manager del Área de Prevención de Fraude, respondió las preguntas de este medio sobre la modalidad de estafa que ha cobrado gran visibilidad durante las últimas semanas y que pone en escena a una falsa teleoperadora del banco y un falso courier. Mendoza lleva 18 años como parte del BBVA Perú y lidera las todas investigaciones de fraudes que afectan a la entidad financiera.
¿Cuándo empezaron a recibir los primeros reclamos sobre esta modalidad de estafa del falso courier?
Los reclamos figuran en la página web del banco pero, haciéndote un bosquejo, estos casos ya tienen aproximadamente un año, un poco más. El BBVA no tiene muchos reclamos con relación a esta tipología, pero los invito a que accedan a nuestra página web, está publicada ahí la cantidad de casos. Hemos coordinado también directamente con las autoridades en relación a esto y nos estamos enfocando mucho en la enseñanza a nuestros clientes, a que ellos mismos también participen con nosotros con las medidas de seguridad.
He accedido a la sección que menciona de la web, y este tipo de estafas entraría en la categoría de operaciones no reconocidas, que aparece sin desglosar. Dentro de esa categoría, ¿cuántos casos de estafa de la modalidad del falso courier han mapeado?
El número sería bueno evaluarlo y proporcionarlo mediante un correo, mediante un escrito. Ahora, en esta entrevista, no te podría hacer llegar un porcentaje de cuántos reclamos por esta tipología tenemos. Pero sí nos podemos comprometer a precisarlo mediante un correo electrónico. Lo que sí te quería decir es que cada caso se evalúa en particular: qué pasó, qué tipo de cliente, para dar una respuesta personalizada a nuestros clientes con relación a esta tipología.
[Nota de Sudaca: Al cierre de esta edición, el BBVA Perú no proporcionó el número de reclamos sobre la modalidad del falso courier reportados por sus clientes. Ya lo habíamos preguntado también en una primera ocasión el 7 de diciembre, vía cuestionario escrito]
¿Han hecho o piensan hacer una investigación transversal a todos los casos reportados de esta modalidad de estafa? ¿Tienen conclusiones?
Siempre estamos haciendo una investigación exhaustiva de eso y en la actualidad también nos encontramos inmersos en una investigación sobre lo que acabas de mencionar.
¿Pero podría contarle a la gente cuáles son las conclusiones?
Claro que sí. Como te había mencionado, cada caso es distinto al de los otros clientes, pero en la misma modalidad. Estamos investigando desde un inicio cómo se entregó esa tarjeta, qué courier entregó y todas las medidas de seguridad que tienen las empresas que trabajan con nosotros como son las de las fuerzas de ventas y el courier, pero sí estamos haciendo una investigación interna. Había leído en la nota lo del tema de fuga de información y quiero dejar claro que eso lo niego tajantemente, porque el banco siempre está en continuas auditorías y sobre todo en investigaciones internas. Negamos ello. No existe una filtración de información. Ninguno de nuestros proveedores podría realizar este tipo de entrega de información. Por ello las visitas y las auditorías, y sobre todo los contratos que tenemos con ellos de cláusulas de penalidad.
¿Exactamente cuál es la teoría del banco sobre cómo los estafadores acceden a estos tres datos: línea de crédito, el tipo de tarjeta que acabas de adquirir, y el día y la hora en que fue entregada?
Dos respuestas. La primera es que desde que nosotros le ofrecemos un producto a nuestro cliente, cuando lo contactamos le solicitamos su autorización con relación a su información. Es decir, su nombre, su dirección y su teléfono. Antes de ofrecerle nuestro producto, ellos nos confirman la autorización [para tratar] esta información, y ahí procedemos a la venta de un producto.
En el segundo eslabón, cuando nuestro cliente va a recibir una tarjeta, solamente él sabe qué tipo de tarjeta va a recibir. La persona que entrega, el courier, no sabe ni la línea de crédito, ni el tipo de tarjeta. [Todos] somos diferentes tipos de clientes para el banco, de acuerdo a la calificación que podamos tener en la Central de riesgo [de la Superintendencia de Banca] o en distintos bancos. Entonces, la línea y el tipo de tarjeta solamente lo conoce el cliente, no la persona que entrega ni que se contacta a ofrecerle un producto al cliente. Y con relación a la información que el cliente le proporciona a estos delincuentes, hay que tener muy en claro también que nosotros como banco, a la par que estamos muy preocupados, también somos víctimas de esto porque están tocando a lo más importante para nosotros, que son nuestros clientes.
Cuando te llaman para ofrecerte una tarjeta, por supuesto que sí te especifican cuál sería tu línea de crédito. En base a eso es que uno acepta. Eso lo pueden cotejar los lectores. Por otra parte, las llamadas de estafa se dan luego de que el cliente ya recibió la tarjeta, y sabe que el banco tiene un registro de cuál ha contratado cada persona, qué línea de crédito se le ha otorgado y también en qué momento. Al contestar la llamada y escuchar estos datos, esta información juega un poder de convencimiento importante.
Pero le entregan al final la tarjeta, pues. O sea, ahí se desvirtúa un poco lo que tú bien indicas. La hipótesis se desvirtúa totalmente porque al final el cliente entrega la tarjeta y la clave.
La entrega evidentemente se da, sino no se efectuarían las estafas y no estaríamos hablando de ellas. Pero el caso no es ese, sino que se da precisamente porque quien llama tiene esa información sensible previamente. Aparte, la pandemia juega un rol importante. El estafador le dice al cliente que hay un concepto nuevo por el que debe pagar, este se muestra inconforme. “Si usted no desea el producto, puede anular la tarjeta pero debe debe devolverla a la sede central”. El cliente expresa que no desea arriesgarse a un contagio de Covid-19 y el interlocutor le ofrece, como un favor, enviar un courier. Entonces la persona acepta.
Nosotros tenemos más de cuatro millones de tarjetas a nivel nacional. Entonces ahí se desvirtúa un poco el que se pueda filtrar alguna información o de que el banco no ponga de conocimiento a nuestros clientes las medidas. Es decir, antes de ofrecerte el producto, también se le señala al cliente que el banco jamás llama a solicitar la entrega de la tarjeta, el banco lo que hace es ofrecerte un producto, pero yo jamás te voy a llamar para que tú me entregues ese producto, jamás, ni por teléfono, ni por mensaje, ni por mail.
¿Cuál es su hipótesis, entonces, sobre cómo los estafadores obtienen los datos que le he mencionado [tipo de tarjeta, línea de crédito y fecha en la que fue contratada]?
Nuestra hipótesis es que estos delincuentes están totalmente preparados [para engañar], que persuaden a nuestros clientes para que [les] brinden alguna información confidencial.
¿Los tres datos, según su hipótesis, estarían siendo entregados por el cliente sin darse cuenta? Eso no es lo que arroja la sistematización de varios casos que hemos recogido en detalle.
Es la ingeniería social que los delincuentes tienen para sacarles esa información a nuestros clientes.
Sobre el tema del telemarketing, entiendo que tienen un área interna del banco y que además tercerizan el servicio.
Tenemos un área interna y también externa. Nos valemos, como te había comentado al inicio de esta entrevista, de contratos y de cláusulas de penalidad con relación a la información de nuestros clientes para ofrecer los productos del BBVA. Y siempre están en constante auditoría, siempre están en constante visita, en capacitación.
Entonces, en cuanto a los teleoperadores que trabajan desde el banco y las medidas de seguridad que siguen. ¿Tienen cámaras en los espacios donde ellos trabajan? ¿El software que utilizan por qué sería seguro?
Si es dentro del banco, sí existe el tema de las cámaras y las medidas de seguridad que podamos tener con relación a la información de los clientes. Pero ahora por la pandemia, la mayoría está haciendo un teletrabajo dentro de la casa y ahí es lo que te vuelvo a mencionar los software de seguridad que podemos tener. Todos nuestros sistemas están bloqueados, nadie puede inyectar un USB en la computadora para poder sacar algún tipo de información. Nadie, ni el que te habla tiene acceso a ingresar un USB en la computadora. Está prohibido. Ni el gerente general del banco puede acceder.
Entonces, esto es en cuanto a medidas de seguridad de los teleoperadores que trabajan acá en las oficinas del banco.
Acá o en la empresa tercerizada que se puede contratar.
En ambos casos, las medidas de seguridad son: las cámaras, un software que no permite la entrada de un USB para descargar la información y la grabación de las llamadas. Eso suena a que puede funcionar en un espacio como el banco, incluso en un call center. Pero, ¿cómo resguardan ese mismo nivel de seguridad en las casas de los teleoperadores, donde no tienen cámaras? Porque no las tienen, ¿verdad?
No.
¿No tienen cámaras y tampoco uno no puede saber si está utilizando el computador con ese software que evita las descargas?
Tiene que usar ese computador porque se tiene que loguear, tiene una identificación. Tú no abres tu computadora, la prendes y trabajas. Tú tienes que poner tu clave, tienes que poner tu contraseña y tienes que entrar a este software especial. Es decir, tú no puedes alegremente decir: yo voy a trabajar desde el Ipad de mi hijito, eso no se puede hacer.
¿Cómo evitar, por ejemplo, una intervención externa como una fotografía a los datos? ¿Ese tipo de cosas pueden controlarse en el caso de un teleoperador trabajando desde casa?
Esa analogía que haces, la verdad, no la compartimos como BBVA, dado que hasta los mismos colaboradores que trabajan en nuestras oficinas tienen acceso a información. Pero por ello, ahí va el tema de la enseñanza y de la seguridad que le brindamos a nuestros clientes, para que tengan total conocimiento de este tipo de modalidades [de estafa].
Nosotros tenemos oficinas a nivel nacional, nuestros ejecutivos y colaboradores también tienen acceso a la información de nuestros clientes, pero no tenemos ni un caso, menos aún de esto, de que se filtre información dentro de la casa y menos de los proveedores que trabajan para nosotros, por las cláusulas de penalidad que te digo. O sea tú me dices que pueden acceder, pueden tomar una foto, pero en las oficinas también podría pasar ello, pero no pasa debido a que también tenemos las medidas de seguridad correspondientes con nuestros clientes.
¿El banco no evaluó incluir, por ejemplo, una nueva cláusula a los contratos que dijera que por seguridad del cliente los teleoperadores no trabajarían desde casa, aunque eso significase reducir las fuerzas de ventas y vender menos tarjetas?
Desconozco si se ha evaluado eso o no, pero nosotros trabajamos con la buena fe de las empresas que representan al BBVA, en este caso, para ofrecer determinados productos.
En el caso de los clientes que realizaron un plantón en esta sede central el 2 de diciembre, a algunos se les han anulado las deudas generadas por las estafas. ¿Por qué han necesitado firmar acuerdos extrajudiciales y qué condiciones contienen estos?
Nosotros no exigimos nada, simplemente en la transacción le decimos al cliente que estamos llegando a un acuerdo con él, pero no hay ninguna exigencia y tampoco se le obliga al cliente a firmar la transacción. Se invita, se conversa con el cliente, se llega a un acuerdo y se firma un documento en que conste dicho acuerdo, a eso se le denomina una transacción.
¿Habría algún problema con conocer el texto de esos acuerdos extrajudiciales o hay una cláusula de confidencialidad en ellos?
Es que tendría que ver la transacción. Como te digo, eso lo ha manejado directamente servicios jurídicos.
Foto de portada: Giovanni Alarcón.
Tags:
bancos,
BBVA,
datos personales,
Estafas,
seguridad digital