Bancomat aumenta la seguridad en su red
Desde estos días, los clientes de Bancomat deberán contestar una pregunta sobre su fecha de nacimiento si realizan una extracción fuera del horario habitual en que operan en la red. Se trata de un mecanismo para evitar la clonación de tarjetas, delito que no se ha detectado en Uruguay pero sí en el resto de la región, particularmente Brasil. Entrevista con el gerente general de Bancomat, contador Edgardo Cortaza.
(Emitido a las 08.15)
EMILIANO COTELO:
La seguridad en la operativa de los cajeros automáticos es un tema al que hemos prestado especial atención esta semana. Con Rosario anteayer y con la explicación de las autoridades ayer nos deteníamos en un aspecto que ha preocupado en estos días a los usuarios de la Red BROU.
Pero ahora vamos a pasar a otra de las redes de cajeros, a Bancomat. Porque Bancomat lanzó días atrás una iniciativa para hacer frente a los riesgos asociados al retiro de dinero a través de cajeros, concretamente al peligro asociado a la "clonación" de tarjetas.
Para saber cuáles son estas medidas, el diálogo será con el gerente general de Bancomat, contador Edgardo Cortaza.
***
Contador Cortaza, a partir de este miércoles Bancomat puso en funcionamiento el nuevo sistema de control al momento de la extracción de dinero en sus cajeros.
EDGARDO CORTAZA:
Exacto, ya está en funcionamiento desde hace algunos días en forma selectiva, la semana que viene la mayoría de los tarjetahabientes lo va a notar. Lo que estamos solicitándole en este momento es que nos proporcione un dato filiatorio propio, concretamente algo relacionado con su fecha de nacimiento, como complemento de sistemas de seguridad que ya tenemos, que están basados en patrones de comportamiento personal. Nosotros tenemos la modalidad de trabajo de cada uno de nuestros usuarios, cuánto retira, en qué cajero lo hace, en qué horario.
EC - ¿Ah sí? ¿Toda esa información está relevada a partir de la tradición de operación de cada tarjetahabiente?
EdC - Sí, desde hace ya un tiempo estamos desarrollando el sistema y ya tenemos relevado ese tipo de información. Por ejemplo, si yo trabajo siempre en la mañana y tengo una transacción de madrugada salta una alarma que va a consultar al usuario este dato filiatorio que estamos requiriendo desde esta semana. Con eso tenemos un elemento más de seguridad de que quien está ante el cajero automático es el real propietario de la tarjeta.
EC - Lo que se busca es tener una comprobación más de que quien está haciendo la transacción es el titular de la tarjeta.
EdC - Sí, y la seguridad está basada en el elemento aleatorio: no pregunto siempre, pregunto en aquellas transacciones que son anómalas, extrañas o fuera de comportamiento.
EC - ¿Ese dato filiatorio puede ser la fecha de nacimiento?
EdC - Es el mes de nacimiento, concretamente. Es bastante sencillo.
EC - Pero si está operando con mi tarjeta alguien que me robó la billetera, probablemente tenga también mi cédula de identidad y por lo tanto mi fecha de nacimiento.
EdC - Estamos de acuerdo, lo que pasa es que toda medida de seguridad apunta a algún tipo de riesgo. De repente ésta no apunta a ese tipo de problemas; a ese tipo de problemas apunta el conocimiento individual del código de seguridad. Acá estamos agregando un tercer elemento, si tiene la billetera podrá tener tu tarjeta, podrá tener tu cédula de identidad y por ende tu fecha de nacimiento, pero es de suponer que no tiene el código de seguridad.
EC - Claro. Entonces el riesgo que se está buscando evitar es que se opere con la tarjeta de un usuario de Bancomat por la vía de la clonación.
EdC - Puede ser por la vía de la clonación o por el popularmente llamado "cuento del tío", por el que a uno le sacan la tarjeta y de alguna manera obtienen el pin haciéndole preguntas. Estamos frente a delincuentes que son profesionales, que saben cómo hacerlo. Para ese tipo de delitos es que a nivel mundial se aplican estos sistemas de identificación positiva, como se les llama.
EC - Supongamos que estamos ante una situación de ésas que usted mencionaba, un retiro anómalo; el cajero pide ese dato extra, ese dato filiatorio, y el que contesta, el que digita, responde equivocadamente; ¿qué hace el aparato?
EdC - En principio vamos a dar una segunda oportunidad; en el caso de que esa segunda oportunidad también sea errónea, el cajero va a proceder a retener la tarjeta. Si es el titular vamos a tener que molestarlo para que pase por la institución a retirarla, pero creo que la medida de seguridad va a redundar en su beneficio.
EC - ¿Por qué se optó por este mecanismo? ¿Ya está probado en otros países, está institucionalizado?
EdC - Nosotros integramos una Asociación de Redes Latinoamericanas en la que el tema de delitos, de fraudes es materia común de intercambio. No es que esté ocurriendo este tipo de problemas en redes de cajeros de Uruguay; en absoluto; pero sabemos que se está dando en la región quizás el país donde esté más difundido sea Brasil y este tipo de herramientas son las que las redes han empezado a instrumentar. No están muy difundidas, pero en Brasil ya existen, en Argentina existen en algunos casos puntuales y nosotros estamos anticipándonos un poco en Uruguay.
EC - Joel, tú tenías una pregunta.
JOEL ROSENBERG:
Sí, quería saber si la gente no se puede sentir un poco invadida en su privacidad al conocer estos detalles que ustedes tienen de todos sus movimientos, sus horarios, los días, los montos.
EdC - Para nada; en este sentido: nosotros no manejamos nombres en absoluto, los datos están dentro del sistema, el mismo sistema que tiene los números de tarjeta, los códigos personales, por lo tanto no hay ningún tipo de identificación. Por eso fuimos a un dato que si se quiere es un poco vano, el mes de nacimiento; ni siquiera estamos preguntando fecha u hora de nacimiento.
JR - Iba al hecho de tener un perfil de la persona; pero usted dice que no se conoce el nombre.
EdC - No, en absoluto; es un número de tarjeta, no tengo ningún nombre asociado, para nada.
EC - Pregunta un oyente qué ejemplos de cuentos del tío hay que permitan a alguien extraerle el número de pin de la tarjeta.
EdC - No sé cuál puede ser el cuento del tío, pero le voy a contar una anécdota un tanto llamativa...
EC - Puede ser útil para que el oyente esté prevenido.
EdC - ...sobre cómo les extraían el pin a algunos tarjetahabientes. Esto que le voy a contar sucedió hace algunos veranos en un cajero ubicado en un supermercado de Punta del Este. Se acercaba una pareja de extranjeros con un niño en brazos que aducía estar sin dinero, que tenía que trabajar en el cajero automático y le preguntaba a la gente si podía ayudarla a trabajar. Nadie iba a desconfiar de una pareja con un niño, le mostraba y digitaba el pin mientras la miraba. Es una anécdota que nos cuentan, no es fácil que un usuario reconozca y nos venga a contar cuál fue el mecanismo.
EC - ¿Hay previstas otras medidas de seguridad, por ejemplo en cuanto al ingreso y egreso de los cajeros, que era un tema que preocupaba a la Red BROU?
EdC - Ayer lo escuchaba. Los casos son particulares, en nuestro caso tenemos no la totalidad pero sí unos cuantos cajeros que cuentan con sensores volumétricos que no permiten el ingreso de una persona cuando está siendo operado o al menos cuando hay otra persona dentro del habitáculo. Eso no se puede aplicar para áreas de autoservicio, evidentemente, donde hay más de un equipo para atender a los usuarios.
También se mencionaba el tema del cerrojo; no sería una buena medida porque no podemos tener un mecanismo por el cual alguien se encierre dentro del cajero y no se pueda entrar salvo rompiendo la puerta, siempre vamos a ir a mecanismos electromagnéticos.
EC - O sea que ustedes no están pensando en implantar el cerrojo, como se está haciendo en la Red BROU.
EdC - No; tenemos sensores volumétricos que indican la presencia de gente trabajando en el cajero; no en todos, pero estamos trabajando en torno a esa solución.
EC - Va a seguir extendiéndose esa forma.
EdC - Sí, supongo que sí.
-----------------
Transcripción: María Lila Ltaif Curbelo
Edición: Mauricio Erramuspe