Recientemente tuvo lugar en Buenos Aires la Ekoparty Security Conherence en su 7ª Edición, que reunió a más de 1.000 expertos en seguridad informática de nueve países.

Una de las conclusiones a que llegó fue que para saber cómo asegurar un sistema informático, hay que saber primero cómo atacarlo.

Resulta bastante asombroso que haga falta una reunión de esta naturaleza para llegar a una conclusión, que más bien debería ser una premisa de todo sistema de seguridad.

No es posible pensar en asegurar un sistema, sea informático o de cualquier otra naturaleza, si previamente no se establecen las formas del ataque.

En este trabajo, dedicado específicamente a seguridad bancaria, no en la parte informática, sino en lo referido al trabajo de mostrador o escritorio, donde el defraudador actúa en forma directa, apersonándose en la institución bancaria, para apropiarse de dineros que no son de su propiedad.

Mantendremos una visión bien diferente a la habitual: una visión criminal, una visión desde el punto de vista delictivo, que, en esencia, es la visión que encuentra los puntos de falla y debilidad del sistema. Una visión muy diferente, por cierto, de la que tienen quienes normalmente dictaminan los medios de seguridad, que son personas normales, simples funcionarios del banco, y que metódicamente van estructurando la mejora de las trabas necesarias cuando ven que éstas han sido violadas de alguna forma. .

Resulta muy fácil esperar que llegue alguien y defraude al banco, para luego pensar en cómo evitar que se repita.

SEGURIDAD, BIEN ENTENDIDA, NO ES EVITAR QUE EL DAÑO SE REPITA. ES EVITAR QUE SE PRODUZCA POR PRIMERA VEZ.

Diríamos que, para encontrar las fallas o los puntos débiles, debemos ponernos como meta defraudar a la institución. Es decir, si pensamos en cómo defraudaríamos a la institución, en lugar de pensar en cómo la protegeríamos, encontraríamos los aspectos en los cuales la deberíamos proteger.

Quiero que este concepto quede bien claro. En términos reales, el desarrollo de medicamentos se produce cuando la enfermedad se manifiesta. Nadie va a buscar un remedio para algo que no existe.

De la misma manera, nadie va a tratar de tapar un pozo, si ese pozo no existe.

Aquí debemos encontrar un medicamento para un mal que aún no existe, debemos tapar un pozo que aún no hemos visto.

Debemos crear el proyecto del fraude, confirmar su ejecutabilidad, para luego establecer los medios de prevenirlo. Téngase en cuenta, que digo PREVENIRLO. Prevenir el fraude es curar la falla que lo hace posible. Lo que planteo es algo así como detectar el virus antes de que se convierta en enfermedad.  Hasta más profundo aún. Es imaginar la calidad y estructura del virus que aún no existe, pero que un día podría llegar a crearse. Parece un poco complicado, pero no lo es tanto.

En esta primera parte de un trabajo mayor, me referiré a la parte de identificación y firmas, aspecto sobre el que los sistemas bancarios adolecen de enormes debilidades, y que únicamente pueden ser subsanadas mediante amplios programas de instrucción.

HECHOS QUE NO PUEDEN SER MODIFICADOS Y QUE FACILITAN LOS ACCESOS A LA INFORMACIÓN Y AL SISTEMA

IDENTIFICACIONES

En primer término, debemos admitir que el funcionario bancario, el funcionario de una institución de crédito, el hombre de la calle, por decirlo en una forma bien general, no tiene mayor conocimiento sobre como verificar la falsedad o legitimidad de un documento de identidad.

Indudablemente, cuando una falsificación sea demasiado burda o grosera, se va a dar cuenta, pero cuando le pongan por delante una verdaderamente bien hecha, la va a dar por legítima.

Esto es válido inclusive para funcionarios aduaneros o de departamentos de migraciones, que tienen un mejor aprendizaje al respecto.

Es muy importante aquí pensar que hago referencia a Uruguay y Argentina. ¿Qué significa esto?. Algo muy simple. Hablo de países donde la corrupción, en todos los niveles, es un hecho que impera.

Esto hace que no sea demasiado difícil acceder a formularios de identificación reales y originales, capaces de soportar profundos análisis.

Por mis manos han pasado cédulas de identidad uruguayas en blanco absolutamente legítimas, D. N. I. argentinos legítimos también en blanco, pasaportes legítimos pero falsos. ¿Paradoja?. Tuve y usé repetidamente uno, uruguayo, con todos mis datos reales. Por razones de antecedentes y sumarios abiertos, se negaban a darme un pasaporte. Costó U$S 2.000.=. Soportó aduanas, compañías aéreas… ningún inconveniente.

Hace ya varios años, un conocido fue detenido en Suiza con DOS pasaportes argentinos, diferentes entre sí, ¡pero ambos legítimos! Sé que hubo muchas investigaciones internas por algo que paree inconcebible. La corrupción crea la existencia de esta clase de situación.

Dejemos claro que en estos países, poniendo dinero por delante, se pueden llegar a conseguir las cosas más inverosímiles.

En Uruguay se consiguen Cédulas de identidad originales, que llegué a negociar por U$S 150.= cada una, comprando veinte unidades juntas. Incluía los formularios y los plásticos originales.

Llegó a hacérseme una oferta de un paquete de 100 unidades completas por U$S 4.000.=, que no llegué a comprar porque no tenía conmigo el dinero

Por U$S 200.= compro en Buenos Aires una libreta de D.N.I. legítima.

Queda siempre la posibilidad, más económica, de usar documentos totalmente falsos.

En el caso de la CI uruguaya, los resultados no son maravillosos, pero se llega a producir documentos bastante aceptables, capaces de soportar una ojeada rápida, y a veces hasta bastante detenida.

Dentro del Uruguay, y caso de ser útiles a los efectos de la operación delictuosa que se pretenda realizar, los documentos totalmente apócrifos de origen argentino, brasileño, chileno, paraguayo, funcionan de maravilla. Pasaportes de cualquier nacionalidad, totalmente inventados, pero con detalles de buena calidad en el diseño y en la impresión, así como en los materiales empleados, también son dados por legítimos con bastante facilidad.

La gran ventaja es que, al no ser de uso y visualización diaria, fácilmente son interpretados como genuinos, mientras el usuario no genere, por sus actitudes, motivos de desconfianza.

OBTENCION DE FIRMAS DE PERSONAS ESPECÍFICAS

Vamos a suponer que, por razones de alguna naturaleza, me es necesaria la firma del señor fulano de tal.

Siempre voy a tener la opción de la fotocopia de su cédula a través de la Dirección Nacional de Identificación Civil. Eso me va a costar unos U$S 150.=

En Buenos Aires se obtiene por el mismo precio un conjunto completo de fotocopias del Pasaporte y el D.N.I., a través del cual hasta obtengo nombre completo del cónyuge, de padres y hermanos.

Pero existen opciones gratuitas, o casi gratuitas.

Para enumerar algunas pocas:

- Partida de nacimiento de un hijo. Es de acceso público, y es posible llegar a obtenerla a partir del nombre del interesado únicamente. El propio sistema informático se ocupa de encontrar el nombre del hijo, si lo hubiere.

-  En Uruguay, si el individuo tiene alguna propiedad, y el escribano actuante en la  compra ya es fallecido, puede llegar a obtenerse fotocopia del protocolo original de la escritura en el archivo de la Galería del Notariado, aduciendo cualquier excusa. Una pequeña propina facilita y acelera el trámite. Allí va a aparecer la firma en cuestión.

-  Si por alguna causa la persona ha intervenido en algún juicio de cualquier índole, su firma aparece en los expedientes judiciales. Estos también son de acceso público. Más difíciles de fotocopiar, pero se fotografían  con un teléfono celular con cámara.

-  Partidas de matrimonio.

Existen otras muchas maneras de acceder a firmas. No es la finalidad de este trabajo explicarlas todas, solamente establecer que el acceso es totalmente público. Simplemente es una cuestión de pensar un poco.

El ser humano es un ser social y comunicativo, y la explotación de ese hecho puede arrojar resultados altamente satisfactorios.

Voy a contar una pequeña historia. Es un hecho real del que fui protagonista, y que creo que ilustra un poco el funcionamiento del mundo real, el funcionamiento de las personas.

Hace algunos años, un día vengo llegando desde Brasil a Uruguay, vía Chuy.

Allí tomo un ómnibus hasta Montevideo. Me dan un asiento por la mitad del vehículo, sobre el pasillo. En el asiento del otro lado del pasillo venía un señor, de unos cuarenta y tantos años. Es un viaje bastante pesado, ya que el ómnibus hace parada en varias partes, y a poco mantuvimos un pequeño intercambio de palabras, no recuerdo si comentando del calor o qué otra cosa.

Poco rato después, ya me había dicho que era funcionario del Banco República. Brillante coincidencia.

No recuerdo cuál fue el nombre que le di como mío, y dije que  ya que él era funcionario bancario, podía confiarle mi actividad: funcionario en el departamento de seguridad de Visa, en la prevención y combate de fraudes.

Maravillosos resultados. Casi tres horas de conversación amena, hablando de estafas, falsificaciones, y, obviamente, dispositivos de seguridad del propio Banco República.

Obviamente, no voy a dar detalles que sirvan para identificar a este hombre, que actuó y habló con la mejor voluntad y buena fe del mundo. Puedo sí decir que una de las cosas con él aprendidas, ocho o diez meses después permitió un beneficio de alrededor de U$S 60.000.=.

Y, obviamente, hubo aprendizaje de otros muchos detalles dentro de ese viaje. Hechos casuales, como ese encuentro impensado, pueden arrojar beneficios increíbles, si se sabe como explotar la naturaleza del ser humano.

Daría para hablar mucho más de todo esto, pero no pretendo escribir una enciclopedia del crimen.

A lo que quiero llegar, concretamente, es a que existen maneras de informarse prácticamente de todo lo uno desee, y que esto resulta inevitable.

También resulta inevitable que al momento de recibir el funcionario bancario una identificación, ésta cumpla con los mejores requisitos de legitimidad, y deba ser tomada por buena.

Por lo tanto, toda protección interna que deseemos establecer, debe presumir como cierto que el presunto defraudador tendrá en sus manos la mejor documentación, los informes más completos, firmas buenas,,, en una palabra, muchas de las barreras de protección primarias han sido totalmente derribadas.

Esto no obsta para que se incorporen, por ejemplo, lámparas de luz negra en algunos lugares clave, como las cajas. No todos los estafadores serán capaces de colocar las impresiones invisibles que correspondan, y la barrera va a funcionar en algunos casos.

La mejora es sustancial si todos los funcionarios participan de  un pequeño curso de aprendizaje, ya que me consta que nada saben de estas cosas.

Yo diría que, a la hora de gastar dinero en dispositivos de seguridad, en lugar de pensar tanto en cámaras, cuya utilidad no discuto ni niego, se piense también en otras cosas.

Lo que quiero decir es que las cámaras sirven a los efectos de monitorear hechos ya sucedidos, es decir, son monitorear el pasado. El dinero ya se fue. Ver la cara de quien lo llevó, no lo restituye. Las filmaciones pueden servir hasta para arrestar y procesar al estafador, puesto que las leyes las llegan a admitir como prueba, pero a esa altura, el banco, o la aseguradora que lo respalda ya perdió el dinero..

Veo como más importante monitorear el presente y prever el futuro. De esa forma, el dinero no se va. Esto es la verdadera seguridad, o al menos, yo lo creo así.

El Banco Santander incorpora un buen sistema para evitar que alguien se haga pasar por uno de sus clientes. El funcionario que me atiende va a ver en la pantalla de su computador la foto del titular de la cuenta, que evidentemente NO es mi foto.

Un buen sistema de seguridad. Pena que se les ocurrió después de perder casi un millón de dólares en el ABN, antes de llegar a fusionarse.

Siempre va a haber alguien con la capacidad necesaria, que únicamente podrá ser combatido por alguien que use sus mismas armas y razonamientos. Y este último NO es funcionario de ningún banco. Necesariamente, tiene que ser otro estafador que esté ahora jugando del lado bueno.

Continuará…