Bansefi y el ataque de los clones

Foto: Publímetro

Continuando las irregularidades en el programa de apoyo para los afectados por los sismos del 7 y 19 de septiembre pasados, la Comisión Nacional Bancaria y de Valores (CNBV) señala cómo se desviaron más de 2 millones de pesos de recursos públicos, destinados a la reconstrucción de las viviendas destruidas o inhabitables tras los pasados fenómenos naturales.

La investigación, difundida por la Asociación Civil Mexicanos contra la Corrupción y la Impunidad (MCCI), detectó los mecanismos utilizados para robar el dinero que el Banco Nacional de Servicios Financieros (Bansefi) distribuyó en tarjetas de débito destinadas para los damnificados por indicación del Gobierno Federal y con recursos del Fondo de Desastres Naturales (Fonden).

Ya desde el pasado mes de noviembre, existían denuncias que señalaban cargos no reconocidos hechos a las tarjetas entregadas por Bansefi. Tras su investigación, la CNBV confirmó que 96.5% de esas tarjetas fueron ‘hackeadas’, extrayendo a través de ellas más de 2 millones de pesos.

Estos ‘hackeos’ se suman a los cientos de tarjetas clonadas a nombre de damnificados reales y que fueron denunciadas también durante el mes de noviembre; en la observación 11 de la investigación, archivada en el expediente 122.11.12(001597)»2017″<6>, se señala que Bansefi «registró deficiencias» para identificar estos fraudes realizados a través de medios electrónicos, pues «carece de mecanismos o sistemas para prevenir y detectar» estos movimientos. Y no sólo la infraestructura del banco carece de controles de seguridad para movimientos electrónicos, sino que incluso los plásticos no eran tarjetas con chip sino con banda magnética, que son mucho más vulnerables a procesos de clonación y hackeo.

La investigación de la Comisión Bancaria comenzó el pasado 16 de noviembre, dos días después de que el banco presentara una denuncia ante la Procuraduría General de la República (PGR) por la presunta clonación de 57 tarjetas entregadas a damnificados de Oaxaca y Chiapas; para el 22 del mismo mes se contaba con 258 denuncias.

Tras un análisis de las transacciones realizadas en las 258 con reclamación activa, la entidad bancaria identificó cuatro mecanismos a través de los cuales se extrajo el dinero en forma ilegal:

  • En 129 tarjetas se detectaron compras en lugares alejados, todas hechas en periodos cortos que «no son coherentes con el tiempo requerido de traslado». En total se retiraron $1, 107, 944 usando este método.
  • En 34 tarjetas se registraron múltiples cargos por $1, que sumados dan un total de $362,023 retirados.
  • En 27 plásticos se identificaron operaciones hechas en establecimientos o lugares lejanos, en los cuales además se concentraron estas transacciones ilegales. La suma de estas operaciones es de $178,798.
  • Incluso, en 59 tarjetas se registraron compras antes de que el plástico fuera entregado al beneficiario, quien lo recibió vacío o con fondos disminuidos. De esta forma, se extrajeron $357,076.

De todas las tarjetas examinadas, sólo hubo 9 casos donde los mismos beneficiarios retiraron el dinero; estos casos arrojan un monto de $60,535.

Los cuatro establecimientos que señala la CNBV como los sitios donde se realizaron las operaciones ilegales con las tarjetas de débito clonadas son:

  • Un supermercado en Boca del Río, Veracruz (a 570 km de Cintalapa, Chiapas, donde se entregaron las tarjetas clonadas)
  • Una pizzería en Guadalajara, Jalisco (a 1,265 km de Ixtaltepec, Oaxaca, donde se entregaron las tarjetas clonadas)
  • Una pizzería en el Puerto de Veracruz (a 652 km de Tonalá, Chiapas e Ixtaltepec, Oaxaca, donde se entregaron las tarjetas clonadas)
  • Una tienda de celulares en Cancún, Quintana Roo (a 1,271 km de Tonalá, Chiapas, donde se entregaron las tarjetas clonadas)

Estos cargos se realizaron entre el 22 de octubre y el 2 de noviembre del año pasado, muchos realizados antes de que las tarjetas fueran entregadas a sus beneficiarios pues el programa arrancó el 2 de octubre. Incluso, destacan las pesquisas, buena parte de las operaciones se ejecutaron con una diferencia de sólo 5 minutos.

Aún más alarmante: el fraude podría ser mucho mayor y cientos de tarjetas más podrían haberse visto afectadas por el hackeo, pues la investigación de la CNBV -cuya primera etapa concluyó el pasado 20 de diciembre- se centró en los casos denunciados pero en el transcurso encontró que el mismo modus operandi se utilizó en cientos de tarjetas más, de las cuales no existe denuncia: pues una vez corroborado el hackeo a 249 tarjetas, la comisión estudió todos los movimientos realizados en estos establecimientos con cualquier tarjeta de Fonden; de esta manera encontró movimientos realizados en los mismos comercios y con los mismos patrones, hechos a cientos de tarjetas del programa pero que aún no han sido denunciadas.

Tanto en la denuncia ante la PGR como en la investigación consecuente de la CNBV resalta la comunidad de Asunción Ixtaltepec, Oaxaca donde arrancó la entrega de las tarjetas el pasado 2 de octubre con la presencia de Enrique Peña Nieto. En esta población, al menos 81 tarjetas fueron clonadas; el resto de las tarjetas hackeadas (de las cuales se tenga denuncia) se concentran en Magdalena Tlacotepec y Juchitán en Oaxaca, y Tonalá, Cintalapa y Pijijiapan en Chiapas.

Entre las observaciones hechas por la CNBV, se señala que Bansefi «registró deficiencias en la distribución, reguardo y custodia de las tarjetas del programa Fonden en los estados de Oaxaca y Chiapas, que ocasionaron una inadecuada ejecución de dichos procesos».

La autoridad bancaria profundiza, además, en la forma en que se dispersaron los recursos y se distribuyeron las tarjetas: en las 258 analizadas, el plazo promedio entre la dispersión de los recursos y la entrega del plástico al beneficiario fue de 19 días, e incluso encontró un caso en que el plástico se entregó 44 días después de que le fueran depositados los fondos: «es relevante debido a que las tarjetas se encuentran con recursos, activas y desbloqueadas por varios días,» lo que facilita usos indebidos.

En la carpeta que contiene la investigación de la CNBV se cita también una explicación de Bansefi, entregada cuando la comisión solicitó los documentos e información necesarios para sus inquisiciones: «…al día de hoy en esta contraloría (Gerencia de Prevención de Fraudes) no cuenta con procesos, herramientas, infraestructura tecnológica y controles para la vigilancia; sin embargo, se estima que durante el mes de diciembre conjuntamente con la Dirección General Adjunta de Tecnología y Operación se libere en producción la Herramienta Antifraude para Medios de Pago MEBONE. Cabe mencionar que el personal ya se encuentra en la etapa de capacitación.»

La explicación de Bansefi, sin embargo, llega demasiado tarde y aún más tarde llegará su Herramienta Antifraude para los más de 249 damnificados cuyas tarjetas fueron clonadas, así como para los 1,495 damnificados a cuyo nombre se emitieron desde 14 y hasta 34 tarjetas, en las cuales se distribuyeron un total de 68.8 millones de pesos… sin que muchos de ellos hayan recibido ni siquiera una de las tarjetas. Hasta el momento, ninguno de los organismos involucrados en el programa ha externado qué medidas tomarán para evitar que estos fraudes continúen.

Además, en su informe la Comisión Nacional Bancaria y de Valores no señala probables responsables de los fraudes a las tarjetas para los damnificados ni especifica si los comercios donde se realizaron las operaciones ilegales enfrentarán alguna investigación. Por tratarse de un proceso abierto, ni la CNBV ni Bansefi se encuentran dispuestos a comentar sobre el tema. En el caso específico de Bansefi, tiene hasta el próximo 2 de febrero para responder a las observaciones hechas por la autoridad bancaria.

Fuente