Ya antes he sido víctima de intento de fraude con un producto de BBVA, por lo que supongo que alguien de BBVA pasó o vendió mis datos personales al «mercado negro.» En esta ocasión mediante su aplicación móvil (esa app que BBVA tanto presume de ser la «mejor del mundo«… bueno, debemos concederle a BBVA que en comparación a las de otros bancos, no está mal, pero de ahí a ser la «mejor del mundo»… no). Al margen de esto, mi reseña en el Play Store.

Bueno, continuando con el tema de este post, el punto central aquí es algo que ha salido a colación: ¿cuándo un app es insegura? La respuesta es simple: cuando puedes delinquir con ella. Punto. No hay nada que discutir en ello, salvo aclarar que, si creen que esto se refiere al hacking (o algo técnico), la respuesta nuevamente es no. Si puedes hacer «ingeniería social», phishing, o algún otro tipo de engaño a partir del uso o de la funcionalidad de un app, esta es insegura por definición. Veamos el caso.

El viernes pasado, me encontraba atareado tratando de seguir un seminario en Big Data a la par de cumplir con mis labores profesionales (a lo que debo sumar algunos problemas de salud). No me considero como alguien inmune a ser víctima de un fraude, y quiero pensar que  tarde o temprano me habría dado cuenta de ello, pero… quien sabe… «al mejor cazador se le va la liebre.»

Entonces, me encontraba en lo ya descrito cuando recibí una llamada. Usualmente ignoro números que no tengo registrado pero este me pareció familiar. Contesté.

Al otro lado de la línea un sujeto, muy amable me indicaba que se trataba de una llamada de servicio por parte de BBVA. Pensé que sería para venderme algo pero me indicaron que  estaban validando cargos en línea que estaban siendo retenidos más un intento de disposición en efectivo (detalles de montos y tiendas se dieron, y recuerdo haber pensado que esto era «un buen servicio»… algo que BBVA debía hacer desde hace mucho). Efectivamente los desconocí y me pasaron con un «ejecutivo». Internamente me decía que debía estar atento a cualquier señal de robo de datos. También muy polite y profesional la otra persona me dio el nombre de una persona que buscaba hacer el retiro, su ubicación y repitió los datos de los supuestos cargos en línea en Amazon y Liverpool. He de mencionar en este punto que nunca he hecho uso de la facilidad de hacer retiros sin tarjeta en los ATM ni de esta funcionalidad en la «mejor app del mundo». Me pidió validar saldos, lo que me pareció inusual, pero bueno.

La persona me indicó que me guiaría para cancelar estas operaciones. En el fondo se oía ruido como si fuera un enorme centro de atención telefónica, aunque la calidad de la llamada era mucho mejor a lo que recordaba de otras ocasiones que he llamado a BBVA. En eso andábamos cuando el app empezó a fallar (o se quedaba «colgada» o marcaba algún mensaje de error o de solicitud de reintento), lo cual no es raro. Lo que sí fue raro es que en ese momento el «ejecutivo» me confirmo el problema y que el sistema entraba en mantenimiento o actualización, que se reiniciaría y que debía reagendar «mi servicio» a las 14 hrs (una hora después más o menos»).

Me quedé pensando en el asunto obviamente, pero aproveché el que mis saldos y tarjetas estaban intactos para proceder con los pagos que tenía planeados para ese día. También para validar que nada estuviera bloqueado. Seguía pensando en el supuesto «buen servicio» y una vocecita en mi interior me decía «¿ya ves? Y tù que no los pasas de inútiles», pero otra vocesita respondió «¿y desde cuándo BBVA se distingue por dar buen servicio?» Ciertamente, ese era buen punto. Entonces decidí llamar a BBVA para ver si era cierta la ayuda que pretendían darme. Nuevamente, tener que entender y sortear al IVR, esperar a la atención por un «ejecutivo telefónico», preguntarle apropiadamente  lo que quería averiguar y tener que soportar el mal humor de éste (este era el BBVA que recordaba y al que estoy acostumbrado). Confirmadas mis sospechas, le expliqué el verdadero asunto a esta persona, quien me confirmo que se trata de un intento de fraude.

Después de colgar, decidí revisar la funcionalidad de retiro sin tarjeta, en la que inicialmente habíamos intentado «cancelar» una disposición por $2,000.00, supuestamente colocando la leyenda «cancelar» en el campo del concepto. Hice una prueba por $100.00, y entendí lo que la aplicación arrojaba como resultado. Una pantalla final señalaba que la disposición estaba lista y su vigencia.  Quiero pensar que en aquel primer intento hubiera notado que estaba liberando un pago y no cancelándolo, pero quien sabe… pude dejarme envolver y proporcionarle al sujeto las clave y contraseña que buscaba para hacer el retiro.

Finalmente, muy puntual (y no como BBVA) a las 14 hrs. el sujeto llamó, antes de pasar al retiro le pregunté si podíamos pasar a las cancelaciones de los cargos pendientes como en ocasiones anteriores he hecho (lo que sí he hecho). Me dio una supuesta explicación de cómo es que hacían la clonación y «hackeo» de la «mejor app del mundo» que he de reconocer no era mala (y mucho mejor a cualquier otra explicación técnica que haya antes recibido de BBVA). Surgió el tema de mi identidad y se me ocurrió preguntarle cómo es que yo podia validar que era BBVA quién me llamaba (1er error, después de que en cierta forma eso ya había quedado aceptado por mi en nuestra primer llamada), pero muy amablemente me indicó varios de mis datos personales (que yo esperaría sólo BBVA tuviera), pero mencionó además el teléfono del que llamaba (2do error) que era el que aparece el reverso de las tarjetas. Fue cuando indiqué que no coincidía y entonces colgó. Ahí terminó el intento de fraude.

Moraleja: si les hablan bonito, diciendo que son de BBVA, no lo son realmente. Alguien trata de embaucarlos.