29 nov 2012

VISA, relato de una estafa consensuada

Generalmente no hablo de mi vida personal en este blog, pero en este caso se trata de cómo gracias a la (in)seguridad en los procesos internos de VISA pude ser estafado, y cómo la desidia de la empresa colabora para hacer que un delincuente haga dinero a costa de las víctimas.

Ante todo un contexto general: hace aproximadamente un mes salí a cenar a un reconocido restaurante de Buenos Aires, pagué normalmente con mi tarjeta de crédito VISA XXXX y seguí mi vida. Hace dos días me encontraba de viaje laboral en la ciudad de Quito, Ecuador, y a las 22 hs recibo un correo electrónico informando que se había registrado un nuevo débito automático de la empresa de energía EDESUR, de la que no soy usuario y ante la cual por supuesto nunca he realizado un pago.

Pensando en el uso dado a la tarjeta durante el último mes, averiguo el lugar donde seguramente me copiaron los datos del PAN (número de 16 dígitos del frente de la tarjeta) y CVV2 (3 dígitos verificadores del reverso) o directamente realizaron una clonación, el restaurante del inicio del relato. Con ese conocimiento me pongo en contacto con la persona cotitular de la cuenta (sexo femenino) en Buenos Aires para que haga el reclamo pertinente ante VISA, se anule el débito y dé de baja la tarjeta clonada.

Grande es mi sorpresa cuando la empresa informa que el reclamo no puede realizarse porque quien llamaba, debía ser el titular y en este caso era evidente que no lo era porque "quien se comunicaba era de sexo femenino". Si bien la persona es cotitular de la cuenta y tiene todos los datos de validación solicitados por VISA para realizar el reclamo, el mismo no puede hacerse ¡porque no llamaba un varón!. O sea, ¿la verificación es la voz de la persona que llama, amen de los datos que la misma tenga sobre la cuenta?

De aquí en adelante todo fueron una serie de hechos desafortunados. Comencemos con las fallas en los procesos:

1. El punto más grave y origen del problema es ¿cómo se dió de alta el débito automático a mi tarjeta de crédito saltando los procesos de verificación de VISA, suponiendo que el delincuente "sólo" tiene el nombre y apellido y los PAN/CCV2 de la tarjeta? Sobre este punto volveremos después.

2. Según pude constatar, el proceso de alta de un débito automático puede realizarse via web (este punto queda descartado porque debe hacerse estando logueado con mi cuenta/usuario/contraseña de VISA, cosa que no ha ocurrido); o por comunicación telefónica con VISA o EDESUR. Evidentemente en ninguno de los dos últimos casos, existe un proceso de verificación adecuada de la persona ya que sino el proceso de alta no podría haberse realizado.

3. El proceso de verificación realizado por el call center de VISA tiene en cuenta la voz y el sexo de quien llama a hacer un reclamo, lo cual inicialmente puede ser válido pero en este caso es secundario. Es decir que si llama María (con los datos de verificación correctos) para reclamar por Juan, el reclamo es ignorado pero si llama Pedro, el reclamo es válido, aunque los datos de verificación entregados sean incorrectos (sobre este punto volveremos después). ¿Qué sucede si el titular no puede llamar por un problema de salud por ejemplo?

4. Cómo quien debía comunicarse con el call center era el titular (de sexo masculino) y al encontrarme en otro país, intenté comunicarme con VISA de Ecuador pero amablemente me indicaron que el "servicio internacional de 24 hs sólo funcionaba de 8 a 20 hs". Siendo las 22 hs debía hacer una llamada internacional a Argentina, a costa mía porque tampoco logré comunicarme con el supuesto servicio de cobro revertido.

5. Al estar imposibilitado temporalmente para comunicarme telefónicamente, hice el reclamo a través de correo electrónico a la dirección de fraudes local y a través del formulario web de denuncias de estafas y fraudes. Además envié un twit a la cuenta @visa.
36 hs después el correo fue respondido de forma automática, con preguntas cuyas respuestas estaban originalmente en el correo enviado por mí y, como frutilla del postre, me solicitan los datos de facturación. Si recordamos que había pagado un servicio que no pertenece, ¿de dónde sacaría la factura? O sea, 36 hs para ni siquiera leer el correo y 36 hs de ventana de tiempo adicionales para el delincuente.

5. Sólo para despuntar el vicio, me comunique a través de Skype con VISA Argentina y luego de 15 minutos de espera, pude contar mi problema a la cansada y desinteresada persona que me atendió. Mis solicitudes fueron dos muy simples: quería dar de baja mi tarjeta porque estaba siendo utilizada por un tercero y quería saber cómo era posible que sucediera lo que sucedió. A la primera pregunta la respuesta fue positiva (a fin y al cabo quien llamaba era un varón y quizá era el titular) y a la segunda fue literalmente que lo "desconocía pero era común que sucediera".

Pero volvamos con el proceso de verificación para dar de baja mi tarjeta de crédito y ya que estamos también, el alta de un débito automático a nombre de un tercero. Para verificar mi identidad, el call center me solicitó mi dirección física (que puede ser fácilmente obtenible en Internet), pero al dársela "cometí un error" y le brindé una dirección incorrecta. Sin otra pregunta (ni siquiera el banco emisor que suele ser una de ellas) y sin percatarse del "error", me confirmaron que la tarjeta había sido bloqueada y recibiría una nueva en mi casa en 48 a 72 hs.

6. Siguiendo el proceso de "autenticación" anterior, si quien llamaba hubiera sido un tercero, podría haber dado de baja todas mis tarjetas de crédito, afectando seriamente la vida de una persona en el extranjero.
Además, nunca llegó ninguna alerta vía correo electrónico informando que este trámite había sido realizado, por lo cual si hubiera sido un tercero quien realizara el trámite, nunca me habría enterado, hasta intentar usar la tarjeta.

Como resumen y sólo teniendo en cuenta los puntos más importantes de lo ocurrido:
  • cualquiera con tu número de tarjeta puede hacerse pasar por tí ante el servicio de VISA, siempre y cuando sea del mismo sexo;
  • el proceso de verificación de datos es obsoleto ya que cualquiera puede obtener los datos de una persona en Internet (o a través de su resumen de tarjeta, si bien este no fue el caso);
  • amen de lo anterior, el proceso de verificación no es respetado por el call center, ya que incluso brindando información incorrecta es posible realizar reclamos;
  • el servicio internacional de VISA en algunos países no funciona, por lo cual utilizar una tarjeta internacional de VISA es un riesgo para quien viaja.
Curiosamente no me siento robado por el delincuente sino estafado por el servicio que ofrece VISA y su sistema de autenticación.
Conclusión: si vas a utilizar una tarjeta de crédito VISA, toma en cuenta que cualquiera que la vea alguna vez puede copiar algunos datos de la misma y utilizarlos, simplemente llamando por teléfono. Desde mi punto de vista los procesos internos de VISA son ineficientes y de esta forma colabora y es cómplice necesario de los delincuentes.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

21 comentarios:

  1. Increíble la desidia e ineficacia demostrada por VISA en cuestiones que tienen que ver con la seguridad y el servicio al cliente.

    ResponderBorrar
  2. Dieron de baja el débito fraudulento? Cursaron una investigación por ese fraude?

    Se que el tiempo es oro, pero yo no me dejaría estar e iría a defensa del consumidor a que hagan respetar las leyes.

    Con ganas hasta pueden rastrear con eficacia el autor material.

    ResponderBorrar
  3. Cristian, todos estamos expuestos a estos fraudes, no se como es en argentina pero en Venezuela, visa no emite tarjetas directamente, ellos solo otorgan licencias a los bancos y son ellos los emisores de las tarjetas, si un cliente, le realizan un fraude, es con el banco que emitio la tarjeta con la cual debe colocar el reclamo y no directamente a visa.

    No se si en tu pais fue visa directamente quien te dio una tarjeta o un banco local.

    Si la transaccion se realizo con tarjeta no presente evidentemente la exposicion a estos fraudes son mas altos, son mas economicos para el defraudador y mucho menos complejos de ejecutar.

    Otra persona pudiera dar de baja tu tarjeta, si tiene los datos necesarios, es una modalidad tambien existente, la cual no voy a detallar en este momento.

    ResponderBorrar
  4. Adrian Ramiro,

    Si, dieron de baja el debito pero no hacen investigacion al respeto porque como digo en el post "para ellos es normal". Una verguenza.

    La investigación está en curso.

    Cristian

    ResponderBorrar
  5. Leo, trabajando en esto sé que ese robo es normal y lo hacen por miles de delincuentes pero, que sea normal, no significa que la empresa no haga nada para evitarlo y sobre todo que no analicen la efectividad del proceso de verificación de usuarios.

    Cristian

    ResponderBorrar
  6. Sumado a esto, hay una cuenta de twitter que hace RT de las personas que publican una foto de su TC -> https://twitter.com/needadebitcard

    Mucha falta de conciencia, tanto en los usuarios como en los dueños del negocio.

    Saludos

    ResponderBorrar
  7. Todo el sistema es obsoleto, el dígito verificador está expuesto en cada operación "manual" que realizás de modo innecesario, debiera por lo pronto ser un PIN que conozca el titular y no estar estampado al acceso de cualquiera...
    La figura mítica del hacker que se mete en sistemas desde su sótano y roba datos es irrelevante ante los miles de fraudes basados en la más primitiva tecnicatura social,llamarlo ingenieria me parece un exceso de título ;)

    ResponderBorrar
  8. Cristian.
    Pesimo el servicio de VIS$, para comentarte en el mes de agosto a un compañero de trabajo le llego una compra por mercado libre de 4.000 pesos por electrodomesticos,..."respuesta de VISA..."Sr.Pague el resumen y presente una intimacion", ni cuenta en mercado libre tiene, COMO PUEDEN AUTORIZAR UN DEBITO O UNA COMPRA SIN DATOS SEGUROS,ES TANTO LA CANTIDAD DE DINERO QUE MANEJAN QUE ES NORMAL?...Un abrazo.

    ResponderBorrar
  9. Gracias Cristian por compartir la experiencia, muy interesante.

    ResponderBorrar
  10. Habiendo leído esto, se me ocurre borrar / convertir en ilegibles los dígitos de verificación como medida adicional, y almacenarlos en algún otro lugar, de esta forma podemos cubrirnos de algunos de los fraudes posibles.

    ResponderBorrar
  11. Tanto Visa como Master dan un pesimo servicio, al fin de cuentas todos los fraude lo cubre el seguro y necesitan generar perdidas.

    Mi sorpresa fue con MasterCard cuando llame para activar el servicio "Secure code" y me confirmaron que en argentina no esta implementado, y yo me pregunto, si el sistema ya esta adaptado internacionalmente a la mayoria de los paises de europa, tanto les costaria implementarlo en nuestro pais? Increible...

    Con respecto a Visa, ahora tenes que seguir perdiendo el tiempo, escribiendo una nota y enviandola por fax negando el pago fraudulento.

    Saludos,
    AnonimoK

    ResponderBorrar
  12. Buen aporte gracias por compartirlo.

    ResponderBorrar
  13. Hola, me paso exactamente lo mismo, a la vuelta de un crucero por el mediterraneo, efectuaron un cargo en mi VISA que no me correspondia. Sabia de los controles de VISA y de la ineficacia de las reclamaciones y me fui directamente a la entidad bancaria. Les dije que no habia realizado esta operacion y que queria justificante firmado por mi del cargo, pasaron 30 dias, no lo obtuvieron y me hicieron el abono. He vivido muchas con VISA, muchisimas, dan para un libro, no quisiera repetir lo que tu has dicho tan bien, pero son el fraude mas grande que existe en el planeta y ademas con NIF!!UN saludo desde Barcelona - Catalunya

    ResponderBorrar
  14. Hola, se comunicaron a mi telefono fijo particular supuestamente desde Visa, con mis datos personales ofreciendome un servicio de Asistencia VIP, debia adherirme a debito automatico de 40$ mensuales y tendria descuentos en compra con la tarjeta en farmacias y tecnicos para el hogar....cuando los necesite me llevo varios dias que Visa me atendiera porque tenian cargado mal los datos de titular y extension (mismo doc) asi que fui al Banco emisor, donde me entregaron una hoja con las instrucciones para dar de baja debito automatico; en ese nro. si me atendieron. Aun asi ni Banco ni Visa me supieron explicar como es que obtuvieron mis datos ni a quien iba el debito....En resumen, la credula fui yo, ergo...me jodo bien jodida. Saludos desde Argentina

    ResponderBorrar
  15. Éstas estafas son bien nac&pop.
    D´elia trisómico del par xxiii

    ResponderBorrar
  16. Me acaban de estafar con una supuesta compra en Brazil. No salí de mi casa ni use la tarjeta para nada. Y me llamaron dándole un numero de expediente que abrieron para defenderme del fraude!!! A quien le creo?????

    ResponderBorrar
  17. A mi me sucedió ahora lo mismo, usaron una tarjeta vieja, destruida por mí cuando me recategorizaron y me dieron la platinum, un año sin usar la vieja tarjeta, la internacional, destruida por mí, pero entre el 17 y el 23 de diciembre triplicaron el consumo que realizo mensualmente con la titular y la adicional, si hago 4 compras seguidas tengo que verificar los datos por TE en algún comercio, estos usaron una trajeta que no se utilizaba desde hace un año y realizaron 3 o 4 compras en un mismo sitio sin que a VISA le llame la atención, no sé si el robo es desde la entidad bancaria o desde VISA, pero voy a realizar todas las denuncias pertinentes, quiero que se hagan responsables del perjuicio que me ocasionan, ya bloqueé en VISA esa tarjeta, el banco en su momento no quiso darme de baja esa tarjeta.

    ResponderBorrar
  18. me pasó lo mismo que a voscuando me subieron a platinum...pudiste resolver el tema?

    ResponderBorrar
  19. Hoy me paso algo increíble. Miro el resumen y tenía unos 15 mil pesos de gastos ( 1000 dólares acá en Argentina) de consumos en Carrefour expresa de varias sucursales de Capital Federal. Aún así el dato más llamativo es que se hicieron con una tarjeta nueva ( de esas que manda el banco cuando vence la anterior) que JAMAS llegue a utilizarla . Y lo curioso es que los gastos comenzaron a partir de la entrada en vigencia de esta tarjeta ( es decir que no tenían la tarjeta vieja sino la nueva) . Realmente estoy muy extrañado de lo que pudo haber pasado ya que es común encontrar estafas con una tarjeta que perdes en la calle o te roban, o te la clonan en un comercio con un skimming. Pero que los estafadores tengan un clon de una tarjeta que tenía en mi casa y que jamás la use en ningún lado solo me hace pensar que alguien robo los datos no a mí sino a visa o BBVA Argentina que es el banco emisor. Realmente debería ser una alerta gravísimo para la gente de seguridad informática de ambas empresas.

    ResponderBorrar
  20. Una verdadera lástima que tenga gente ineficas

    ResponderBorrar
  21. ami me paso..
    q sin avisarme me mandaron una visa gold.. y me di cuenta al llegar el resumen a mi casa.
    que existia y la usaban gracias a dios me reconosieron la queja y me devuelven la plata el mes que viene.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!