“Saldo insuficiente”, decía el aparato. Era su turno de pagar en la cola del supermercado y la cajera le dio la noticia. Mayra Moncada desbloqueó su celular, ingresó a su Banca Móvil y vio allí el registro de dos movimientos recientes que no recordaba. Eran dos transferencias de dinero por S/280, hechas desde Yape, la billetera móvil del Banco de Crédito del Perú (BCP), que permite enviar dinero con solo saber el número telefónico del destinatario afiliado a la aplicación. Para salir del problema, aunque confundida, Mayra tuvo que pagar con su otra tarjeta.
“Saldo insuficiente”. Violeta Ordoñez, (usaremos un seudónimo a pedido de ella), recibió ese mismo mensaje en la ventanilla de una de las agencias del BCP. Le informaron que S/1.900 habían salido de su cuenta a través de quince ‘yapeos’. Su recelo frente a atajos digitales, hacía que retirar su dinero por ventanilla fuese su elección constante. “Yape”, “yapear”, “yapera” o “yapéame”, le resultaban palabras extrañas. Ni había descargado ni se había afiliado a la aplicación del BCP, lanzada al mercado en 2017 y promocionada este año pandémico como una vía ‘segura’ para evitar el contacto con el efectivo.
No lo sabían en su momento, pero ambas serían parte de las decenas de casos de ‘yapeos’ o transferencias fraudulentas que provocaron un comunicado público del banco el último 16 de diciembre. Para entonces, múltiples testimonios habían aparecido en Facebook e Instagram, y Twitter se había vuelto un hervidero de usuarios que denunciaban operaciones no reconocidas. Se trataba de transferencias que habían sido realizadas a través de Yape, no por los clientes, pero con cargo a sus cuentas bancarias en el BCP.
Sobre los comentarios circulados en los últimos días sobre el BCP y Yape, queremos comunicar lo siguiente: pic.twitter.com/brUCvkvqru
— Banco de Crédito BCP (@BCPComunica) December 16, 2020
Han transcurrido diez días desde ese comunicado y el escándalo mediático se ha apagado lentamente. Sin embargo, los clientes que fueron afectados (y el público en general) aún no han sido informados en detalle sobre cuál fue el fallo en la seguridad de la aplicación y qué medidas se han tomado para revertir esa brecha. Lo único que pone el BCP en su comunicado es que ha “reforzado de manera inmediata” sus “protocolos de afiliación a Yape”. No detalla cómo, ni exactamente qué falló.
Sudaca solicitó entrevistas con representantes del BCP, Yape y la Superintendencia de Banca (SBS), pero ninguno de estos tres actores clave accedió a hablar. El BCP aceptó responder preguntas por escrito, pero luego de recibirlas dijo que por falta de tiempo no las contestaría. Yape señaló que el comunicado del miércoles 16 se mantenía como la única comunicación oficial que emitirían sobre el caso. Y la SBS únicamente precisó que estaba “viendo que se le devuelva el dinero a todos los afectados. No solo a los que denuncian, sino a todos”.
El último sábado, Violeta Ordoñez presentó su reclamo al BCP y continúa a la espera de una respuesta. A Mayra Moncada el BCP le depositó el dinero de los dos “yapeos” no reconocidos, pero con ello no le devolvió la confianza en la seguridad de sus productos. Retiró inmediatamente todo el saldo de su cuenta sueldo en el banco y continúa preguntándose cómo terceros tomaron el control de su dinero. “Debo agradecer que el banco respondió a mi reclamo, pero no me explicaron qué pasó”, precisó en uno de sus tuits al BCP.
Una vulnerabilidad con antecedentes
No es necesario ser titular de la línea del teléfono que se afilia a Yape: esa fue la primera vulnerabilidad advertida por los especialistas que ha consultado Sudaca. Y la primera puerta abierta para lo que el propio banco mencionó en su comunicado: “Algunos clientes del BCP que no estaban afiliados a Yape fueron afilados por delincuentes a este servicio en celulares de terceros, sin su consentimiento”.
Carlos Guerrero, abogado especialista en temas de ciberseguridad, identificó un patrón entre el caso de Yape y lo que ocurrió en mayo con el Bono Familiar Universal (BFU) que repartió el gobierno, cuando terceros cobraron bonos que no les correspondían. ¿Cómo? Luego de burlar el primer cerco de seguridad, al ingresar los datos requeridos del DNI, los delincuentes consignaban cualquier número de celular para recibir la clave que finalmente les permitía cobrar el dinero.
Para más detalles, en el artículo “Lo que nos enseña la suplantación y robo a los beneficiarios del Bono Familiar Universal“, Miguel Morachimo, máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford, detalla el paso a paso del delito. Tras una ola de reclamos, el Ministerio de Inclusión Social incorporó el requisito de que el beneficiario del bono debía consignar un número de celular del cual él fuese el titular o lo fuese un familiar.
“Si en el BCP hubieran tomado esa precaución, esta situación [las transferencias fraudulentas a través de Yape] no podría haber ocurrido. Es eso lo que habría hecho la diferencia, porque no habría sido posible que un tercero, aun con toda la información robada, pueda transferir dinero desde Yape”, dijo Carlos Guerrero.
Genghis Ríos, director de transformación digital del departamento de Ingeniería de la PUCP, sugirió una segunda opción para reducir la posibilidad de que delincuentes afilien y suplanten a clientes del banco: permitir que los usuarios solo puedan afiliarse a la billetera móvil con un número previamente registrado en el BCP. Esto serviría para aquellos casos de personas que, por la razón legal que fuere, utilizan un celular registrado a nombre de una empresa -en la que trabajan, por ejemplo- o de otra persona.
Surge la interrogante, entonces, sobre qué predominó al interior del banco al momento de desarrollar candados para su billetera móvil: si el objetivo de sumar más yaperos a los millones que ya tienen o el de brindar el más alto nivel de seguridad a sus clientes.
¿Y qué predomina ahora, que la aplicación ya fue vulnerada? Que el BCP y Yape coloquen alguna de las dos restricciones mencionadas (u otras de ese tipo) luego de lo sucedido en el caso del Bono Familiar Universal o, al menos, luego del perjuicio reciente a sus clientes sería lo esperable. Sin embargo, Sudaca pudo constatar que no lo han hecho. Este medio hizo seguimiento al caso de una clienta del BCP que se afilió a Yape esta semana desde la línea telefónica de un tercero, sin inconvenientes. La falta de precisión del banco en explicarle a sus clientes qué falló y exactamente cómo lo han solucionado, además de su negativa a dar una entrevista, abre la puerta a muchas preguntas y pocas certezas sobre la seguridad actual del aplicativo.
De acuerdo con la experiencia de la clienta mencionada, cuyo nombre permanecerá en reserva por temor a alguna represalia del banco, las únicas medidas de seguridad tomadas son permitirle ‘yapear’ al usuario recién después de 48 horas de su afiliación y enviarle paralelamente un mensaje de texto al titular de la tarjeta. El SMS le notifica que su plástico fue registrado en Yape y le sugiere bloquearlo de no reconocer dicha afiliación.
Ese, sin embargo, es un aviso que puede perderse si el titular de la tarjeta no visualiza el SMS, ya sea por distracción, porque tuvo apagado el celular o, incluso, porque le robaron el celular o dejó de utilizar el número al que el BCP le escribió.
La ausencia de dos niveles de seguridad
Ríos, del departamento de Ingeniería de la PUCP, analizó para Sudaca los Términos y Condiciones de Yape y evaluó cuán segura es su forma de solicitar al usuario que certifique fehacientemente, o autentique, su identidad al afiliarse al aplicativo. “En el contexto de la autenticación [digital] existen hasta tres métodos: “Lo que sé”, como una contraseña; “Lo que tengo”, como un token, por ejemplo; y finalmente “Lo que soy” que se refiere a la biometría, con el reconocimiento digital de alguna parte del cuerpo humano. Esos tres juntos representan un nivel bastante fuerte de autenticación del usuario”, explicó el ingeniero electrónico.
Para aquellos que se afilian a Yape con una tarjeta de débito o crédito del BCP, los datos solicitados son, además del número de DNI: 1) el número de dicho plástico, 2) su fecha de vencimiento y 3) la clave de cuatro dígitos del cajero. El usuario establece además una clave de seis dígitos que tendrá que ingresar para efectuar cada ‘yapeo’. “Todo esto se queda en el nivel de ‘lo que sé’”, precisa Ríos y agrega que para una entidad, en este caso el BCP, ese es el nivel más fácil de implementar de los tres.
“Señorita, no entiendo cómo han podido obtener esos datos. No lo entiendo. Si la tarjeta ha estado conmigo”, recuerda haberle dicho Mayra Moncada a la teleoperadora que le ayudó a bloquear su tarjeta luego del inconveniente en el supermercado. Esa pregunta abre un abanico de posibilidades. Por ejemplo: que los delincuentes hayan obtenido ilícitamente bases de datos de los números de las tarjetas y los datos personales de sus titulares; que hayan conocido las claves secretas a través del envío de mensajes falsos (conocidos como pishing, vía correos electrónicos, o mishing, vía SMS), supuestamente del banco, que solicitan la actualización de la clave del cajero; o que hayan usado un algoritmo para probar distintas combinaciones hasta dar con el número correcto.
Sumar a una contraseña el uso de un token a través de un dispositivo externo brindado por el banco correspondería al segundo nivel. El reconocimiento de una huella digital mediante la tecnología biométrica ya disponible en muchos smartphones completaría el tercero, detalla Genghis Ríos. Y advierte que en los Términos y Condiciones del aplicativo solo figura la incorporación de la biometría digital como una posibilidad futura. “Al menos para los usuarios que sí tienen ese tipo de celular [de gama alta, que les permite el reconocimiento dactilar] sería ideal que se pueda activar esa opción”, opina.
Tan solo este año el uso de Yape ha crecido 700%, alcanzando más de 25 mil nuevos usuarios diarios, según declaró a finales de noviembre un vocero del banco a Andina. Solo ese mes se esperaba mover más de un billón de soles. Con esas dimensiones, mejorar la seguridad del aplicativo en distintos niveles debería pasar a ser una prioridad en su estrategia de desarrollo.
La YapeCard
En su comunicado anual a todos sus clientes, el gerente general del BCP, Gianfranco Ferrari, sostuvo que en el 2020 se enfocaron “en lanzar nuevas funcionalidades pensando en facilitarles la vida de manera segura, rápida y fácil”. Por eso, agregó: “Lanzamos YapeCard, para apoyar a las personas no bancarizadas e incluirlas financieramente por primera vez en sus vidas”. La tarjeta permitía abrir un Yape sin vincular la cuenta bancaria del cliente, lo que constituía una opción para aquellos que querían tomar una medida extra de precaución.
Sin embargo, ni eso fue suficiente garantía. Mayra Moncada cuenta que meses antes de sufrir los robos, se había afiliado a Yape con su DNI, y que realizaba las transferencias a través de la YapeCard. “Precisamente porque no quería tocar mi cuenta, yo solamente me registré con mi DNI y con la modalidad de la YapeCard, una tarjeta tipo prepago que debía ser recargada”.
¿Qué pasó? Para que los yapeos aparezcan en el registro de movimientos de su Banca Móvil BCP —es decir, sean cargados a su cuenta bancaria— los delincuentes habrían generado otra afiliación a Yape, solo que esta vez con los datos de su tarjeta, explican los expertos.
Falsa sensación de seguridad
“Hablen del seguro, ¿aplica para robos de celular o robo digital? O ¿se tiene que hacer un cambio de contrato?”, tuiteó un usuario en respuesta al comunicado del BCP del miércoles 16. “Señores, tengo un seguro antiguo y deseo migrar al nuevo seguro. Sin embargo he llamado constantemente pero hasta el momento no me dan solución”, tuiteó otro en la misma publicación.
Muy posiblemente quienes fueron víctimas de estos robos vía Yape y tenían contratado el “Seguro de Protección de Tarjetas” pensaron que estaban cubiertos ante este tipo de eventos. Pero se dieron contra la pared.
Recién este año, en febrero, la aseguradora Pacífico, compañía vinculada a la misma familia que dirige el BCP y con la que trabaja el banco, lanzó al mercado el “Seguro de Protección de Tarjetas Plus” que sí ofrece la cobertura de este tipo de robos por un máximo de S/15 mil, precisó a Sudaca Carlos Acosta, abogado especializado en seguros y máster en economía y derecho de consumo por la Universidad de Castilla-La Mancha.
La póliza del nuevo seguro consigna: “Transferencias de dinero no reconocidas por el asegurado realizadas a través de canales virtuales válidos y proporcionados a su favor por el BANCO DE CRÉDITO DEL PERÚ” a raíz de robo, hurto, pérdida o cambiazo de tarjetas, secuestro o fraude por internet.
“Eso es importante porque esta connotación es algo que no estaba presente en el anterior seguro. Es decir, estamos ante una cobertura distinta y nueva”, consideró Acosta, quien a su vez llamó la atención sobre que este nuevo seguro solo cubre un evento de este tipo al año.
“Parece chiste decir que ellos cuidan mejor tu dinero que el BCP pero relativamente es cierto”, escribió una usuaria de Twitter este miércoles, solo unos minutos después de la comunicación del gerente general del banco Gianfranco Ferrari con sus clientes. Jimena Rodríguez acompañaba sus 92 caracteres con la foto de estas alcancías.
De acuerdo o no con Rodríguez, se trata de la sensación de desconfianza aún presente en redes sociales. En el mismo muro de Facebook donde Yape festejaba, el 11 de diciembre, haber llegado a los cinco millones de yaperos hoy abundan los comentarios solicitando con urgencia la desafiliación del aplicativo.