Esta es sólo una de las muchas filtraciones de datos que se han producido entre empresas francesas en las últimas semanas, pero podría ser más grave que las demás. El operador Free reveló el sábado 26 de octubre que había sido víctima de un ciberataque durante el cual se robaron los datos personales de millones de suscriptores y, en particular, sus identificadores bancarios (Iban). El hacker que se atribuye la responsabilidad afirma tener más de 5 millones de Iban, según informan varios expertos en ciberseguridad, entre ellos Damián Bancal a la AFP.
Cuando se anunció esta filtración de datos, algunas voces se tranquilizaron, sosteniendo que era imposible que un delincuente vaciara una cuenta bancaria simplemente utilizando un Iban. Sin embargo, varios experimentos muestran que es posible utilizar estos identificadores para realizar pagos, sin autorización previa, incluso para pagos regulares.
Dos periodistas del sitio de noticias tecnológicas 01Net, por ejemplo, intercambiaron sus respectivos Iban para intentar “robarse” dinero entre sí mediante la compra de productos en Internet. La primera prueba se realizó en Amazon. El periodista pudo añadir el Iban de su colega como medio de pago, luego compró un producto económico (un bolígrafo de cuatro colores) que entregó, sin la más mínima verificación de identidad ni alerta al propietario de la cuenta.
¿Qué pasa con las suscripciones y sus pagos regulares? El sitio realizó otra prueba, suscribiéndose a un plan móvil por 2 euros al mes de Bouygues Telecom. La periodista utilizó el Iban de su colega para las muestras. En ningún momento se informó a la persona “robada” que se había utilizado su Iban. El trámite fue validado unos días después con firma electrónica realizada por el periodista… sin código de validación.
Aunque los periodistas informaron posteriormente a Bouygues de su experiencia, no fue hasta la víspera de la primera muestra que el departamento de fraude de la empresa se puso en contacto con la periodista, porque su “Los datos bancarios no parecen[ai]“no es correcto”. Sin embargo, su colega fue efectivamente llevado en la fecha prevista. Este El débito finalmente fue cancelado, sin que se haya informado al titular de la cuenta bancaria.
Aquí los bancos pasan la responsabilidad a las empresas que reciben el dinero. “Corresponde al acreedor que recibe el mandato de domiciliación bancaria verificar la correspondencia entre el Iban y el titular”subraya Crédit Agricole a 01Net. Este es el principio mismo de la Sepa (“Zona Única de Pagos en Euros”), el reglamento europeo vigente desde 2014 en 31 países de Europa.
La asociación UFC-Que Choisir dio la voz de alarma sobre el tema en 2014. “A diferencia del antiguo sistema, los bancos ya no están obligados a obtener la autorización del cliente para realizar un débito directo. Ahora es el destinatario del débito directo quien realiza la solicitud al propio banco. “establecimiento”explica la asociación en su sitio. “Consecuencia práctica: cualquiera que tenga el número Iban de un individuo puede retirar dinero de él, sin ningún control por parte del banco”.
¿Por qué los acreedores no verifican sistemáticamente las identidades? Cuestionado por 01Net, Bouygues declaró que “Quiere ofrecer a sus clientes una experiencia fluida y fiable. Para ello, numerosas herramientas permiten realizar comprobaciones automáticas y también manuales para garantizar la seguridad de las transacciones”.. Amazon, por su parte, menciona su “equipos dedicados” y sus inversiones “en sistemas de gestión de riesgos de última generación para proteger a los clientes”. Sin embargo, ninguno explica concretamente qué se implementa para comprobar que una persona que ingresa un Iban es efectivamente el propietario de la cuenta bancaria.
Entonces, ¿qué hacer? El primer consejo es monitorear los débitos en su cuenta bancaria, buscando pagos que no haya realizado. Incluso los más pequeños, que más fácilmente pueden pasar desapercibidos. Los bancos también le permiten consultar la lista de acreedores actualmente registrados en su cuenta, para detectar nombres sospechosos.
Entonces dispone de varios medios de apelación. Por un lado, la entidad que recibe el dinero debe notificar la retirada al menos 14 días antes de su ejecución, recuerda el Banque de France en su sitio (a menos que exista un acuerdo contractual que establezca un proceso diferente). Además, si se ha firmado un mandato de domiciliación bancaria, tienes ocho semanas para impugnar un débito directo con tu banco, y el banco deberá reembolsarte en un plazo de diez días. Si no se ha rubricado ningún mandato, tiene 13 meses y debe ser reembolsado “a más tardar al final del primer día hábil siguiente”gastos bancarios y agios incluidos.
Pero eso no impide que los estafadores vuelvan a intentarlo, en el mismo sitio o en otro. ¿Podemos tratar el problema en su origen? Puedes prohibir que las entidades te cobren pidiendo a tu banco que las incluya en tu “lista negra”. Por el contrario, puedes enviar a tu banco una “lista blanca” de empresas a las que autorizas a realizar transferencias. Si una empresa que no figura allí intenta cargar su cuenta, el movimiento será bloqueado.
En ambos casos, su banco tiene la obligación de aceptar esta solicitud, recuerda la asociación UFC-Que Choisir en su sitio. Tenga en cuenta que, por lo tanto, un estafador puede utilizar su Iban para pagar los servicios de las empresas que aparecen en esta lista blanca. Pero al menos los riesgos se reducen.
