VISA, relato de una estafa consensuada

Generalmente no hablo de mi vida personal en este blog, pero en este caso se trata de cómo gracias a la (in)seguridad en los procesos internos de VISA pude ser estafado, y cómo la desidia de la empresa colabora para hacer que un delincuente haga dinero a costa de las víctimas. Ante todo un contexto general: hace aproximadamente un mes salí a cenar a un reconocido restaurante de Buenos Aires, pagué normalmente con mi tarjeta de crédito VISA XXXX y seguí mi vida. Hace dos días me encontraba de viaje laboral en la ciudad de Quito, Ecuador, y a las 22 hs recibo un correo electrónico informando que se había registrado un nuevo débito automático de la empresa de energía EDESUR, de la que no soy usuario y ante la cual por supuesto nunca he realizado un pago. Pensando en el uso dado a la tarjeta durante el último mes, averiguo el lugar donde seguramente me copiaron los datos del PAN (número de 16 dígitos del frente de la tarjeta) y CVV2 (3 dígitos verificadores del reverso) o directamente realizaron una clonación, el restaurante del inicio del relato. Con ese conocimiento me pongo en contacto con la persona cotitular de la cuenta (sexo femenino) en Buenos Aires para que haga el reclamo pertinente ante VISA, se anule el débito y dé de baja la tarjeta clonada. Grande es mi sorpresa cuando la empresa informa que el reclamo no puede realizarse porque quien llamaba, debía ser el titular y en este caso era evidente que no lo era porque "quien se comunicaba era de sexo femenino". Si bien la persona es cotitular de la cuenta y tiene todos los datos de validación solicitados por VISA para realizar el reclamo, el mismo no puede hacerse ¡porque no llamaba un varón!. O sea, ¿la verificación es la voz de la persona que llama, amen de los datos que la misma tenga sobre la cuenta? De aquí en adelante todo fueron una serie de hechos desafortunados. Comencemos con las fallas en los procesos: 1. El punto más grave y origen del problema es ¿cómo se dió de alta el débito automático a mi tarjeta de crédito saltando los procesos de verificación de VISA, suponiendo que el delincuente "sólo" tiene el nombre y apellido y los PAN/CCV2 de la tarjeta? Sobre este punto volveremos después. 2. Según pude constatar, el proceso de alta de un débito automático puede realizarse via web (este punto queda descartado porque debe hacerse estando logueado con mi cuenta/usuario/contraseña de VISA, cosa que no ha ocurrido); o por comunicación telefónica con VISA o EDESUR. Evidentemente en ninguno de los dos últimos casos, existe un proceso de verificación adecuada de la persona ya que sino el proceso de alta no podría haberse realizado. 3. El proceso de verificación realizado por el call center de VISA tiene en cuenta la voz y el sexo de quien llama a hacer un reclamo, lo cual inicialmente puede ser válido pero en este caso es secundario. Es decir que si llama María (con los datos de verificación correctos) para reclamar por Juan, el reclamo es ignorado pero si llama Pedro, el reclamo es válido, aunque los datos de verificación entregados sean incorrectos (sobre este punto volveremos después). ¿Qué sucede si el titular no puede llamar por un problema de salud por ejemplo? Suena ridículo, sí lo es. 4. Cómo quien debía comunicarse con el call center era el titular (de sexo masculino) y al encontrarme en otro país, intenté comunicarme con VISA de Ecuador pero amablemente me indicaron que el "servicio internacional de 24 hs sólo funcionaba de 8 a 20 hs". Siendo las 22 hs debía hacer una llamada internacional a Argentina, a costa mía porque tampoco logré comunicarme con el supuesto servicio de cobro revertido. 5. Al estar imposibilitado temporalmente para comunicarme telefónicamente, hice el reclamo a través de correo electrónico a la dirección de fraudes local y a través del formulario web de denuncias de estafas y fraudes. Además envié un twit a la cuenta @visa . 36 hs después el correo fue respondido de forma automática, con preguntas cuyas respuestas estaban originalmente en el correo enviado por mí y, como frutilla del postre, me solicitan los datos de facturación. Si recordamos que había pagado un servicio que no pertenece, ¿de dónde sacaría la factura? O sea, 36 hs para ni siquiera leer el correo y 36 hs de ventana de tiempo adicionales para el delincuente. 5. Sólo para despuntar el vicio, me comunique a través de Skype con VISA Argentina y luego de 15 minutos de espera, pude contar mi problema a la cansada y desinteresada persona que me atendió. Mis solicitudes fueron dos muy simples: quería dar de baja mi tarjeta porque estaba siendo utilizada por un tercero y quería saber cómo era posible que sucediera lo que sucedió. A la primera pregunta la respuesta fue positiva (a fin y al cabo quien llamaba era un varón y quizá era el titular) y a la segunda fue literalmente que lo "desconocía pero era común que sucediera". Suena ridículo, sí lo es. Pero volvamos con el proceso de verificación para dar de baja mi tarjeta de crédito y ya que estamos también, el alta de un débito automático a nombre de un tercero. Para verificar mi identidad, el call center me solicitó mi dirección física (que puede ser fácilmente obtenible en Internet), pero al dársela "cometí un error" y le brindé una dirección incorrecta. Sin otra pregunta (ni siquiera el banco emisor que suele ser una de ellas) y sin percatarse del "error", me confirmaron que la tarjeta había sido bloqueada y recibiría una nueva en mi casa en 48 a 72 hs. Suena ridículo, sí lo es. 6. Siguiendo el proceso de "autenticación" anterior, si quien llamaba hubiera sido un tercero, podría haber dado de baja todas mis tarjetas de crédito, afectando seriamente la vida de una persona en el extranjero. Además, nunca llegó ninguna alerta vía correo electrónico informando que este trámite había sido realizado, por lo cual si hubiera sido un tercero quien realizara el trámite, nunca me habría enterado, hasta intentar usar la tarjeta. Suena ridículo, sí lo es. Como resumen y sólo teniendo en cuenta los puntos más importantes de lo ocurrido: cualquiera con tu número de tarjeta puede hacerse pasar por tí ante el servicio de VISA, siempre y cuando sea del mismo sexo; el proceso de verificación de datos es obsoleto ya que cualquiera puede obtener los datos de una persona en Internet (o a través de su resumen de tarjeta, si bien este no fue el caso); amen de lo anterior, el proceso de verificación no es respetado por el call center, ya que incluso brindando información incorrecta es posible realizar reclamos; el servicio internacional de VISA en algunos países no funciona, por lo cual utilizar una tarjeta internacional de VISA es un riesgo para quien viaja. Curiosamente no me siento robado por el delincuente sino estafado por el pésimo servicio que ofrece VISA. Conclusión: si vas a utilizar una tarjeta de crédito VISA, toma en cuenta que cualquiera que la vea alguna vez puede copiar algunos datos de la misma y utilizarlos, simplemente llamando por teléfono. Desde mi punto de vista los procesos internos de VISA son ineficientes y de esta forma colabora y es cómplice necesario de los delincuentes. Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz2DePemism Under Creative Commons License: Attribution Non-Commercial Share Alike Mucho más de Seguridad Informática Segu-Info