¡No podía creerlo! Me estaban llamando del banco para confirmar varias transacciones electrónicas que acababan de realizar en Los Ángeles con la tarjeta de crédito de la empresa que está a mi nombre. Me robaron los datos de la tarjeta y estaba siendo utilizada a 3.750 Km de mi ubicación en Florida para pagar dos compras en Target.com y en otro comercio por US$ 275. Lo que más me impactó es que habían pasado solo 15 minutos de haber realizado yo un pago a un proveedor que procesó la tarjeta de crédito a través de su teléfono celular.
El proveedor al que yo le acababa de pagar utilizó un dispositivo de la firma Square, que se comercializa en Estados Unidos. El pequeño dispositivo es un lector de bandas magnéticas que convierte el conector de audífonos en un punto procesador de pagos.
Afortunadamente, el sistema antifraude de Bank of America funcionó adecuadamente y no solo fui contactado cuando notaron las operaciones sospechosas (por la ubicación geográfica), sino que fueron reversadas todas las transacciones fraudulentas. El empleado bancario del departamento antifraude me explicó que el teléfono del proveedor estaba “hackeado” y transmitió a un tercero (el defraudador) los datos de la tarjeta antes de que llegaran al sistema del procesador de pagos (Square).
Irónicamente, llamé al proveedor para comentarle que tenía un problema con su teléfono para que tomara las medidas correctivas y evitara que otros clientes se vieran perjudicados. El comerciante se molestó, alegando que los “iPhones no son hackeables”. Aunque su reactivo e inconsistente alegato me molestó, entendí rápidamente cuál era el verdadero problema que él tenía: capacitación.
El empleado adolecía de una capacitación adecuada en el uso del teléfono corporativo, por lo que no tomó las medidas preventivas adecuadas; él no administró sus riesgos de forma conveniente, seguramente porque él (y quizás los líderes de su empresa) no los conocían. Su falta de entrenamiento lo llevó a abrir emails “phishing” y/o permitió que un software robot se instalara en su teléfono al navegar por páginas web inseguras; sin duda, él abrió la puerta trasera de su celular y su descuido puso en riesgo a cuatro empresas: la empresa para la que trabaja, el procesador de pagos (Square), el banco y a Ideas Publishing Solutions (Lavadodinero.com)
Espero que esta anécdota personal sirva para: a) mostrar la rapidez con la que pueden actuar los criminales cibernéticos; b) ejemplificar como los sistemas de detección de transacciones sospechosas de los bancos pueden responder de forma oportuna a una situación sospechosa; c) evidenciar que algunas veces las vulnerabilidades de los sistemas control empiezan “desde adentro” (en el caso del proveedor) por falencias individuales del personal poco entrenado; y d) ratificar que algunas veces las amenazas vienen a través de nuestra cadena de proveedores.