El audio que divulgó ayer Ricardo Monreal, de una llamada a Scotiabank por alguien que se hizo pasar por Luis Videgaray para confirmar que Videgaray sí manejaba la cuenta 03800806935, con la cual presuntamente se hicieron trinagulaciones de dinero, tiene todas las características de lo que se conoce como "Social Ingeering" (ingeniería social), y que es uno de los métodos más usados por hackers para obtener información que normalmente no les darían simplemente preguntando.
Es por eso que no he dudado de la autenticidad del audio, ya que de inmediato identifiqué las claves de que quien hizo la llamada en la grabación usó ingeniería social.
¿En qué consiste la ingeniería social? En mentir. Pero la mentira se debe decir usando información verdadera para obtener a cambio más información verdadera.
Estas son las claves de la llamada a Scotiabank:
CLAVE 1: Establecer confianza.
Para que la llamada pudiera haber resultado, el ingeniero social debe establecer un nivel de confianza con quien está hablando.
La confianza que pudo generar el falso Videgaray se estableció en el momento en el que él ofreció información personal correcta ANTES de que se la pidieran.
Trabajadora del servicio Invertel de Scotiabank: Buenas tardes le atiende Jessica Añorve, con quién tengo el gusto:
Cliente: Sí, con Luis Videgaray
T: ¿En qué lo puedo apoyar señor Videgaray?
C: Le puedo dar mi número de cliente, necesito hacer una consulta.
T: Señor cuál es el número de cliente.
Noten que el falso Videgaray no pidió información; la ofreció. Al ofrecer la información antes de que se la pidieran, el falso Videgaray establece confianza, fingiendo ser Luis Videgaray y teniendo los datos para demostrarlo antes de que le pregunten.
CLAVE 2: Solicitar información aparentemente sin importancia.
El truco de la ingeniería social consiste en solicitar información aparentemente sin mucha importancia, pero que sirve para obtener información realmente importante. El falso Videgaray logró esto pidiendo simplemente verificar una operación de estado de cuenta. Para cualquier trabajador de Scotiabank esto sería algo hasta tonto, ya que está pidiendo verificar algo que el mismo "cliente" le está diciendo que aparece en su estado de cuenta:
T: ¿Qué es lo que desea verificar señor Videgaray?
C: Necesito verificar, mire en el estado de cuenta tengo una operación de fecha del 19 de junio, un spei que se hizo a BBA Bancomer
T: Sí
C: Sí ¿Le doy el monto para confirmar?
T: Aparece en su estado de cuenta
C: Sí, lo tengo a la vista
Aquí es donde la trabajadora le dice basicamente al falso Videgaray que la única información que le puede dar es la misma que él tiene:
T: Pero es lo qué desea verificar, lo que sucede señor Videgaray es que el mismo movimiento que usted verifica, es el que yo puedo consultar, porque no puedo ingresar a consultar directamente movimientos en la cuenta.
C: Ah, Okey, mi duda es tengo este depósito que es del día 19 de junio, lo que necesito es que me aparece la referencia de cash de BBVA Bancomer, tengo el número, si quieres se lo puedo proporcionar, pero en realidad lo que necesito es conocer la cuenta de 18 dígitos para hacer ahorita una conciliación, este depósito del que le hablo es este 19 de junio, ver si me lo puede confirmar, si el sistema esta tal cual como lo tengo en mi estado de cuenta.
T: Señor Videgaray, no puedo verificar el movimiento en la cuenta, puedo consultar la misma información que usted está verificando en su estado de cuenta.
C: ¡Ah! okey.
A estas alturas la trabajadora debió haber pensado que el falso Videgaray sólo estaba buscando información poco relevante. Pero aquí es donde entra lo que el falso Videgaray REALMENTE buscaba: la confirmación de que el verdadero Luis Videgaray es quien maneja la cuenta:
C: Sí, Bueno de entrada, sí ya tiene registrada la cuenta bancaria que le acabo de dar a mi nombre con mi número de usuario, ¿se lo proporcionó o ya se lo di?.
T: No me lo proporcionó.
C: ¡Ah! bueno se lo doy, permítame, es el, perdón número de cliente, discúlpeme señorita.
T: El número de cliente ya me lo proporcionó señor Videgaray.
C: Okey y ¿sí aparece en mi cuenta de la 03 80 08 06 9 35?
T: Sí.
C: ¿Sí aparece?
T: Sí
C: Okey, ¿a mi nombre?
T: Sí
C: Okey, muy bien, de esa cuenta a mi nombre, yo tengo a la vista mi estado de cuenta, ese movimiento que yo se lo puedo proporcionar, yo le puedo decir qué movimiento tengo. ¿Si es el mismo que usted tiene?
T: Sí
C: ¿Sí? El 19 de junio tengo.
En este punto el falso Videgaray ya obtuvo la primer pieza de información que buscaba: confirmar que Luis Videgaray sí es el titular de la cuenta. Ahora lo que busca es verificar que sí hubo movimientos millonarios de dinero en esa cuenta, pero para llegar a ese punto le van a pedir información adicional.
CLAVE 3: Sólo unas cuantas piezas de información pueden abrir las puertas.
Un ingeniero social no necesita de toda la información que le piden para poder obtener lo que quiere. Sólo lo más indispensable (esto lo veremos más a detalle en la parte 3 de esta serie). Vean cómo el falso Videgaray logró meterse hasta la cocina con poca información.
T: Tengo que validar antes que nada señor Videgaray para verificar lo que usted me está indicando.
C: Como no, ¿qué datos?
T: ¿Usted es el titular de la cuenta?
C: Sí
T: ¿Cuál es el domicilio que dejó registrado?
C: Permítame se lo doy, sería fraccionamiento Bosques La Herradura.
T: Sí
C: Sí
T: En qué calle, cuál es la calle
C: Bueno
T: Sí, lo escucho, ¿cuál es la calle?
C: Parque Minas 29, 501.
Parque Minas no existe, pero el falso Videgaray presuntamente sabía que esa era la información en el sistema de Scotiabank. Por consiguiente, no necesitaba saber la verdadera dirección de Videgaray, sino sólo lo que decía en el sistema para poder verificarse.
Falso Videgaray sabía también que en el sistema de Scotiabank no estaba registrado ni el municipio ni los teléfonos de Videgaray, pero logra sortear esto porque sabe que la empleada tampoco sabe esa información, así que cualquier información que le diga que sea razonablemente cercana a la realidad la va a convencer:
T: ¿En qué delegación?
C: No, está en Toluca, en el Estado de México.
Bosques La Herradora no está en Toluca, sino en Huixquilucan. Eso no lo sabe la empleada -ningún empleado de banco sabe la ubicación de todas las colonias- puesto que pregunta por una delegación, lo cual sugiere que ella piensa que el domicilio está en el DF. Ahí es cuando el falso Videgaray la corrige.
En las llamadas a los bancos, cuando alguien la una respuesta incorrecta no se corta la llamada, sino que o se replantea la pregunta o se hace otra pregunta. Y puesto que no había datos de municipio, el decir Toluca lo hace sonar razonable, ya que la cuenta se abrió, según los documentos del sistema, en una sucursal de Toluca.
CLAVE 4: Hacer pensar a la víctima que está ayudando.
Los ingenieros sociales saben que los empleados de bancos son evaluados por sus superiores; que por eso se monitorean o graban las llamadas; y que si un empleado tiene contento al cliente, lo evalúan bien. Es por eso que una de las claves de la ingeniería social es hacerle creer a la víctima que está siendo de gran ayuda.
Vean cómo el falso Videgaray finge estar buscando información en papeles para que le crean si le falla algún dato y de esa manera la trabajadora le ofrezca información:
T: Muy bien cuál es el código postal.
C: Permítame tantito, código postal, permítame aquí tengo la fichita que me imprime el mismo sistema, perdón ya 52783.
En realidad, falso Videgaray debe haber tenido el dato en la mano, pero el decir que estaba buscando le permite disfrazarse de necesitado de ayuda. Esto sirve de perlas para las siguientes preguntas:
T: Gracias ¿cuál es el número telefónico que dejó de casa y de oficina?
C: Permítame tantito es que aquí lo tengo.
T: ¿O no dejo ningún número registrado?
C: Es que no, tiene mucho tiempo esto, tiene como tres años, no tengo aquí ningún registro de teléfono que se haya dejado, tengo los demás datos, le puedo dar mi CURP.
T: No, cuál es su RFC.
El falso Videgaray sabe que no hay un número de teléfono registrado en el sistema, pero finge estar buscando uno para que suene creible. Es ahí donde la trabajadora le ofrece la información de manera voluntaria: "¿O no dejó ningún número registrado?"
Cuando la trabajadora dice eso, el falso Videgaray ya puede decir sin problemas que no tiene el teléfono. Pero para sonar auténtico, ofrece otra pieza de información: La CURP. La trabajadora, pensando que sería muy difícil que tuviera la información, le pregunta entonces por el RFC, el cual le proporciona.
Ahora viene otro dato interesante. Cuando le preguntan en qué sucursal abrió la cuenta, no dice directamente cuál, sino que pregunta si es "un de Toluca". En el sistema de Scotiabank, de acuerdo con los documentos presentados por Monreal, el dato de la sucursal es "1-Toluca", por lo cual la trabajadora toma la respuesta como válida:
T: ¿A qué sucursal dio de alta la cuenta?
C: Mire debe de ser aquí, Plaza Toluca, a no, permítame, ese dato siempre, ¿uno de Toluca debe ser?
T: Sí, es correcto.
C: Okey, muy bien.
T: Es para eso
C: ¿Qué mas datos necesita señorita?
T: Permítame estoy ingresando a su estado de cuenta
C: Gracias.
Bingo. Falso Videgaray logró entrar al sistema para verificar los movimientos de la cuenta.
Lo gracioso del caso es que lo que la trabajadora cree que no le va a dar ninguna información que el cliente no tenga, sino solamente le va a confirmar. Pero eso es exactamente lo que falso Videgaray busca:
T: Correcto. Sigo con usted. El movimiento que me mencionaba de …..
C: Del estado de cuenta del 19 de junio. ¿Le digo de qué monto es el depósito?
T: ¿Me lo está verificando de su estado de cuenta?
C: Sí, exacto, yo lo tengo a la vista. Nada más quiero confirmar que sea el mismo de esta cuenta bancaria, que está a mi nombre.
T: ¿Me lo puede dar?
C: Es el estado de cuenta, el movimiento del 19 de junio…..
T: Sí.
C: Es con una referencia que dice: Origen 701XX71 y es por 50 millones de pesos.
T: Sí.
C: Sí, ¿le aparece a usted también?
T: Sí, 701XX711. Cincuenta millones, transferencia interbancaria SPEI RECPINV 737 A 870, BBVA Bancomer. CASH 0100120619043424
Noten ahora cómo el falso Videgaray hace una segunda confirmación de que la cuenta es de Luis Videgaray de manera casual para no levantar sospechas:
C: Ah. Ok. Ahora sí, de este estado de cuenta que tengo operaciones por 250 millones 73 mil 678.73 pesos; entonces, ¿estamos hablando del mismo estado de cuenta?
T: Sí.
C: Sí, ok. Muy bien. Nada más para confirmar nuevamente. ¿Esta es la cuenta 03800806935 a nombre mío…
T: Perfectamente. El estado de cuenta que usted tiene en mano es el que yo estoy verificando, señor Videgaray.
C: Ok.
T: Son exactamente los mismos datos.
C: Son exactamente los mismos datos.
T: Sí, los mismos datos que usted está corroborando son los yo puedo ver en la pantalla.
Ya establecida la "autenticidad" y la confianza con la telefonista, el falso Videgaray pide más información. De nuevo, siempre es él el que da la información sólo para que se la confirmen:
C: Muy bien, muy bien. ¿Puedo confirmar otra operación que tengo aquí en el estado de cuenta, pero del 25 de junio?
T: Sí.
C: ¿Se la doy?
T: Sí, ¿cuál es?
C: En este caso es del 25 de junio, tiene la referencia 701XXD8870 por 50 millones 36 mil 842.38 pesos.
T: Sí, del 25 de junio. Bancomer. 50 millones 36 mil 842 pesos, con 38 centavos. Es correcto lo que tenemos registrado.
Y ahora la pregunta más importante, pero hecho de manera casual: si alguien más operaba la cuenta. A estas alturas, ya con la confianza de la trabajadora, la confirmación es inmediata:
C: Ok. Muy bien. Tengo este estado de cuenta, que está a nombre de Luis Videgaray. Perdón, ¿tenía asociado algún otro nombre en esta cuenta?
T: No, solamente aparece su nombre.
C: Ok. Muy bien señorita. Le agradezco mucho su atención.
CLAVE 6: Generar charla amistosa de salida para no despertar sospechas.
Los ingenieros sociales no cuelgan el teléfono en cuanto les dan lo que buscaban. Continúan con la plática para que a la víctima se le olvide de lo que estaban hablando. En este caso, es la telefonista la que inicia la conversación pidiéndole al falso Videgaray que responda preguntas que podrá usar a futuro para poder ingresar al sistema.
Ese procedimiento es estándar en varios bancos y se usa para poder verificar la identidad el cliente para hacer una doble verificación al tratar de entrar al sistema. Lo gracioso, es que el falso Videgaray coopera con todas las preguntas para no despertar sospechas:
T: Correcto. Señor Videgaray antes de terminar la llamada me permitiría realizarle un cuestionario, son únicamente siete preguntas que nos van a servir para autenticarlo en las próximas llamadas que realice a este centro de atención.
C: Cómo no, con muchísimo gusto.
T: Me puede indicar ¿Cuál es su mes preferido del año?
C: ¿El mes preferido del año? Enero.
T: Enero. Muy bien. Confirmo su respuesta. Su mes preferido es el mes de enero. ¿De acuerdo?
C: Sí.
T: ¿Cuál es el mes de nacimiento de su mamá, únicamente el mes?
C: Debe de ser agosto.
T: Muy bien, ingresamos el mes de agosto como el mes de nacimiento de su mamá. ¿Qué parte del día le gusta más: el día, la tarde o la noche?
C: La noche.
T: Muy bien. Su parte del día favorito es la noche. ¿De estos animales, cuál le gusta más: Perro, gato, león, tigre, oso, caballo, delfín o águila?
C: Caballo.
T: Muy bien. Registramos caballo. ¿Cuál de estos deportes es el que le gusta más: Soccer, americano, basquetbol, tenis, natación o beisbol?
C: Soccer.
T: Registramos soccer como su deporte favorito. ¿En qué estado de la República nació el señor Videgaray?
C: Estado de México.
T: En el estado de México. Muy bien. ¿Cuál es su estación del año favorita: Primavera, verano, otoño o invierno?
C: Invierno.
T: Muy bien. Hemos finalizado el cuestionario. Ha sido usted muy amable por brindarme algunos minutos de su valioso tiempo. ¿Hay algo más que pueda hacer por usted señor Videgaray?
C: Nada más. Muchísimas gracias por confirmar todos estos datos.
T: Ha sido un placer atenderlo. Mi nombre es Jessica Añorve. Que pase una excelente tarde. Hasta pronto.
C: Gracias. Hasta luego.
Se preguntarán ustedes: "¿Ingeniería social?" ¿De dónde sacaste esa jalada, Victor? Eso te lo sacaste de la manga."
Pues no. Es algo que existe de lo cual hay libros. Pero de eso hablaremos en la tercera y última parte de esta serie, la cual será publicada a las 9:00 AM en punto.
Para leer la parte 1, sigan este link:
http://www.blogdeizquierda.com/search/label/scotiagate
El que no crea en social engineering puede consultar Wikipedia o cualquier libro de sociología. Además, cualquier mexicano que haya sido víctima de un secuestro virtual o de estafa por teléfono sabe bien lo que es ingeniería social porque lo ha vivido.
ResponderBorrar@MexicanPink