Comunidad Orange

Usurpación de línea móvil con uso fraudulento de tarjeta de crédito

Responder
PacoSevi1
Observador frecuente

Usurpación de línea móvil con uso fraudulento de tarjeta de crédito

El pasado día 4 de mayo, de madrugada, se produjo una usurpación de mi línea móvil de Orange, lo cual permitió a los delincuentes realizar operaciones fraudulentas con una de mis tarjetas de crédito interceptando los SMS de confirmación de las operaciones de mi banco, el BBVA.

 

Al levantarme aquella mañana veo en mi móvil las notificaciones de la app del banco de una serie de operaciones efectuadas con mi tarjeta y mi cuenta, como una compra de 1800 € y una petición de un préstamo:

PacoSevi1_0-1653644698981.png

No hay ni SMS's de confirmación ni nada más que esas notificaciones de la app. Intento entrar en la banca digital y está bloqueada. Compruebo el correo y, a la misma hora de esas notificaciones, hay varios correos del banco con la documentación de una petición de un préstamo de 6320 € y la correspondiente confirmación de que ha sido concedida, más un correo justo tras esas operaciones notificándome que "por motivos de seguridad, tu acceso a la banca digital ha sido temporalmente bloqueado". Me acerco inmediatamente a una sucursal del banco y consigo que el préstamo sea rechazado, pues no había sido aún retirado (gracias posiblemente al bloqueo de la banca digital) no así la compra de la tarjeta por 1800 € que, según ellos, no podía ser rechazada y había que esperar hasta que fuese firme días después para ser reclamada. Es decir, a pesar de que aviso al banco de una operación fraudulenta que yo no he realizado, siguiendo las instrucciones de seguridad que ellos mismos dan, no son capaces de rechazar la operación. Se da la circunstancia que a la tarjeta utilizada yo le tenía desactivadas las compras por internet.

 

A lo largo de ese día me doy cuenta de que la línea multiSIM asociada a mi línea móvil de Orange, que tengo contratada para un Apple Watch, con el que pago ocasionalmente mediante ApplePay usando precisamente esa tarjeta, no funciona, pues el reloj aparece sin cobertura de datos. Entro en mi cuenta de Orange y resulta que no aparece esa tarjeta eSIM, que di de alta apenas unos días antes, como si hubiese sido desactivada o dada de baja. Comprobando los SMS descubro uno recibido durante la mañana en el que se informa de dicha desactivación (además de la activación de madrugada del servicio de llamadas especiales por parte de los delincuentes, llegando ambos SMS con horas de retraso):

PacoSevi1_1-1653644699041.png

Más tarde me llegan al móvil, también con varias horas de retraso respecto de las operaciones de la cuenta que fueron realizadas a las 2 de la mañana, los siguientes SMS de autorización de esas operaciones:

PacoSevi1_2-1653644699083.png

Comprobando además luego mi factura online, justo a la hora a la que se estaban produciendo las operaciones fraudulentas, aparecen tres llamadas efectuadas usando mi línea móvil a un número para mi desconocido que yo no realicé:

PacoSevi1_3-1653644699106.png

Contacto con atención al cliente de Orange por whatsapp para que comprobasen las operaciones que se realizaron con mi línea aquella madrugada y la agente me confirma que se habían efectuado una serie de cambios en mi línea telefónica de forma online:

PacoSevi1_4-1653644699275.png

Yo no efectué ninguna de esas gestiones. He pedido repetidamente a Orange a través del correo clientes.particulares@orange.es que me envíen esta información de forma oficial, pero no he recibido respuesta.

Por tanto, mi línea móvil de Orange fue usurpada por los delincuentes a través de la página de Orange (pues no hay registro de conexión a través de Mobileconnect), habiendo tomado el control total de esta, lo que les permitió realizar las operaciones con mi tarjeta y mi cuenta del BBVA y confirmarlas mediante la interceptación de los SMS, e impidiendo al mismo tiempo que yo pudiera darme cuenta.  Así, se unen varios fallos de seguridad que los delincuentes conocen y aprovechan, como son los siguientes entre otros posibles:

 

  • Que Orange permite la manipulación de los servicios de una línea sin más que acceder con el número de teléfono y una clave simple de números y letras, sin ninguna seguridad adicional, ni clave OTP, ni app de identificación de doble factor (MS Authenticator o similares), ni identificación biométrica, etc. De esta manera, la línea queda fácilmente a merced de los delincuentes.
  • Que el BBVA no verifica las operaciones con un tercer factor de seguridad, como sería la identificación biométrica (reconocimiento de huella en el móvil o de rostro), o una app de identificación de doble factor o la generación de códigos por la propia aplicación, o una firma digital. De hecho, el primer sistema de identificación para acceder a la banca digital es simplemente el DNI y una clave alfanumérica de 6 caracteres (sin símbolos ni nada), clave claramente insegura (aunque es similar a lo que hacen otros bancos).

Desde hace años se sabe que solo el uso de solo dos factores de seguridad, siendo el segundo una clave OTP enviada por SMS, como segundo factor, es un método inseguro que no deberían usar los bancos, salvo que se añada un tercer factor que asegure la identificación del usuario en un entorno seguro (como dije antes, app de doble factor instalada en un dispositivo propio, identificación biométrica, firma digital, etc.), pues resulta extremadamente fácil para los delincuentes interceptar los SMS. Los bancos lo saben, pero muchos tienen el dilema entre aumentar las medidas de seguridad, lo cual puede ahuyentar a los clientes del uso de la banca digital, pues la complica, y soportar esos fraudes que, a fin de cuentas, es el cliente el que tiene que demostrar que ha sido robado.

 

Por supuesto, que conste que yo en ningún momento he dado mis datos a nadie, ni personalmente ni por internet, ni he pinchado en enlaces desconocidos, ni he dejado el móvil desbloqueado o desatendido, ni la tarjeta, ni se han detectado virus ni ningún otro tipo de software malicioso en ninguno de mis dispositivos, incluidos móvil (iPhone 12 Pro, actualizado) y ordenador (con sistemas operativos actualizados y antivirus y firewalls activados).

 

En definitiva, pido a Orange que aumente las medidas de seguridad para el acceso online de sus clientes y la realización de las distintas modificaciones en sus líneas (algo tan sencillo como la recepción de un código de doble factor en una app tipo Authenticator, por ejemplo, o de su propia app Mobileconnect) o, al menos, incluir esa opción para los clientes que así lo deseen puedan activarla.

 

Muchas gracias.

 

(A fecha de hoy sigo reclamando al BBVA los 1800 € sustraídos con mi tarjeta, pues, según ellos, a pesar de todas las evidencias, la operación se hizo "sin fraude" por haber sido validada mediante un código enviado por SMS. Supongo que la cifra de negocios que les suponen estas operaciones fraudulentas consumadas es superior a las cantidades de dinero que tienen que devolver, cacubierta en general, por cierto, por VISA, Mastercard, etc…)

krony
Superusuario

Hola @PacoSevi1 !

 

Siento lo ocurrido, yo tambien sufri algo parecido a lo tuyo. Mi abogado se dirigia a Orange mediante Burofax a la direccion que aparece en las condiciones. Ahi si obtenia respuesta y siempre le facilitaron lo pedido. (Tanto Orange como Movista y Vodafone ya que lo mio fue bastante gordo).

 

Espero que todo se solucione, un saludo.

PacoSevi1
Observador frecuente

Muchas gracias, Krony. Enviaré el burofax, porque también le pedí a la persona que me atendió por whatsapp que me enviase de forma oficial esa información y me dijo que la respuesta por whatsapp serviría igual porque era también un canal oficial de Orange.

Un saludo.

fibra123
Nuevo Solucionador

Hola @PacoSevi1 ,

 

Siento lo ocurrido, te recomiendo que expongas tu caso en el foro de Rankia:

https://www.rankia.com/foros/bancos-cajas/temas/5183477-como-venciste-banco-acudir-tribunales-negars...

 

Otras victimas podrán asesorarte para recuperar tu dinero.

 

Saludos,

Love
Superusuario

Hola. Siento lo ocurrido.

Yo pondría una denuncia en comisaría.

 

No obstante, hay algo que investigaría por mi cuenta.

Aunque hayan podido entrar en tu área de clientes, ¿cómo han conseguido los códigos de los SMS?, los SMS solo llegan a la tarjeta SIM principal, aunque tengas multiSIM allí no se reciben.

¿Tenías el iPhone contigo?, ¿tienes el iPhone configurado para que no se muestre la previsualización de los mensajes si está bloqueado?.

PacoSevi1
Observador frecuente

El pasado día 4 de mayo, de madrugada, se produjo una usurpación de mi línea móvil de Orange, lo cual permitió a los delincuentes realizar operaciones fraudulentas con una de mis tarjetas de crédito interceptando los SMS de confirmación de las operaciones de mi banco, el BBVA.

 

Al levantarme aquella mañana veo en mi móvil las notificaciones de la app del banco de una serie de operaciones efectuadas con mi tarjeta y mi cuenta, como una compra de 1800 € y una petición de un préstamo:

PacoSevi1_0-1655964279683.png

 

No hay ni SMS's de confirmación ni nada más que esas notificaciones de la app. Intento entrar en la banca digital y está bloqueada. Compruebo el correo y, a la misma hora de esas notificaciones, hay varios correos del banco con la documentación de una petición de un préstamo de 6320 € y la correspondiente confirmación de que ha sido concedida, más un correo justo tras esas operaciones notificándome que "por motivos de seguridad, tu acceso a la banca digital ha sido temporalmente bloqueado". Me acerco inmediatamente a una sucursal del banco y consigo que el préstamo sea rechazado, pues no había sido aún retirado (gracias posiblemente al bloqueo de la banca digital) no así la compra de la tarjeta por 1800 € que, según ellos, no podía ser rechazada y había que esperar hasta que fuese firme días después para ser reclamada. Es decir, a pesar de que aviso al banco de una operación fraudulenta que yo no he realizado, siguiendo las instrucciones de seguridad que ellos mismos dan, no son capaces de rechazar la operación. Se da la circunstancia que a la tarjeta utilizada yo le tenía desactivadas las compras por internet.

 

A lo largo de ese día me doy cuenta de que la línea multiSIM asociada a mi línea móvil de Orange, que tengo contratada para un Apple Watch, con el que pago ocasionalmente mediante ApplePay usando precisamente esa tarjeta, no funciona, pues el reloj aparece sin cobertura de datos. Entro en mi cuenta de Orange y resulta que no aparece esa tarjeta eSIM, que di de alta apenas unos días antes, como si hubiese sido desactivada o dada de baja. Comprobando los SMS descubro uno recibido durante la mañana en el que se informa de dicha desactivación (además de la activación de madrugada del servicio de llamadas especiales por parte de los delincuentes, llegando ambos SMS con horas de retraso):

PacoSevi1_1-1655964279662.png

 

Más tarde me llegan al móvil, también con varias horas de retraso respecto de las operaciones de la cuenta que fueron realizadas a las 2 de la mañana, los siguientes SMS de autorización de esas operaciones:

PacoSevi1_2-1655964279652.png

 

Comprobando además luego mi factura online, justo a la hora a la que se estaban produciendo las operaciones fraudulentas, aparecen tres llamadas efectuadas usando mi línea móvil a un número para mi desconocido que yo no realicé:

PacoSevi1_3-1655964279632.png

 

Contacto con atención al cliente de Orange por whatsapp para que comprobasen las operaciones que se realizaron con mi línea aquella madrugada y la agente me confirma que se habían efectuado una serie de cambios en mi línea telefónica de forma online:

PacoSevi1_4-1655964279643.png

 

Yo no efectué ninguna de esas gestiones. He pedido repetidamente a Orange a través del correo clientes.particulares@orange.es que me envíen esta información de forma oficial, pero no he recibido respuesta.

Por tanto, mi línea móvil de Orange fue usurpada por los delincuentes a través de la página de Orange (pues no hay registro de conexión a través de Mobileconnect), habiendo tomado el control total de esta, lo que les permitió realizar las operaciones con mi tarjeta y mi cuenta del BBVA y confirmarlas mediante la interceptación de los SMS, e impidiendo al mismo tiempo que yo pudiera darme cuenta.  Así, se unen varios fallos de seguridad que los delincuentes conocen y aprovechan, como son los siguientes entre otros posibles:

 

  • Que Orange permite la manipulación de los servicios de una línea sin más que acceder con el número de teléfono y una clave simple de números y letras, sin ninguna seguridad adicional, ni clave OTP, ni app de identificación de doble factor (MS Authenticator o similares), ni identificación biométrica, etc. De esta manera, la línea queda fácilmente a merced de los delincuentes.
  • Que el BBVA no verifica las operaciones con un tercer factor de seguridad, como sería la identificación biométrica (reconocimiento de huella en el móvil o de rostro), o una app de identificación de doble factor o la generación de códigos por la propia aplicación, o una firma digital. De hecho, el primer sistema de identificación para acceder a la banca digital es simplemente el DNI y una clave alfanumérica de 6 caracteres (sin símbolos ni nada), clave claramente insegura (aunque es similar a lo que hacen otros bancos).

Desde hace años se sabe que solo el uso de solo dos factores de seguridad, siendo el segundo una clave OTP enviada por SMS, como segundo factor, es un método inseguro que no deberían usar los bancos, salvo que se añada un tercer factor que asegure la identificación del usuario en un entorno seguro (como dije antes, app de doble factor instalada en un dispositivo propio, identificación biométrica, firma digital, etc.), pues resulta extremadamente fácil para los delincuentes interceptar los SMS. Los bancos lo saben, pero muchos tienen el dilema entre aumentar las medidas de seguridad, lo cual puede ahuyentar a los clientes del uso de la banca digital, pues la complica, y soportar esos fraudes que, a fin de cuentas, es el cliente el que tiene que demostrar que ha sido robado.

 

Por supuesto, que conste que yo en ningún momento he dado mis datos a nadie, ni personalmente ni por internet, ni he pinchado en enlaces desconocidos, ni he dejado el móvil desbloqueado o desatendido, ni la tarjeta, ni se han detectado virus ni ningún otro tipo de software malicioso en ninguno de mis dispositivos, incluidos móvil (iPhone 12 Pro, actualizado) y ordenador (con sistemas operativos actualizados y antivirus y firewalls activados).

 

En definitiva, pido a Orange que aumente las medidas de seguridad para el acceso online de sus clientes y la realización de las distintas modificaciones en sus líneas (algo tan sencillo como la recepción de un código de doble factor en una app tipo Authenticator, por ejemplo, o de su propia app Mobileconnect) o, al menos, incluir esa opción para los clientes que así lo deseen puedan activarla.

 

Muchas gracias.

 

ACTUALIZACIÓN:

- He pedido reiteradamente a Orange que me envíe un documento oficial con las operaciones realizadas sobre mi línea aquella madrugada, para poder ampliar la denuncia y seguir reclamando al banco, si éxito.

- A fecha de hoy sigo reclamando al BBVA los 1800 € sustraídos con mi tarjeta, pues, según ellos, a pesar de todas las evidencias, a pesar de que les avisé como ellos piden a las pocas horas de detectarlo, la operación se hizo "sin fraude" por haber sido validada mediante un código enviado por SMS. Supongo que la cifra de negocios que les suponen estas operaciones fraudulentas consumadas es superior a las cantidades de dinero que tienen que devolver, cubierta en general, por cierto, por VISA, Mastercard, etc…). Después de 3 años, el BBVA ha sido recientemente condenado a devolver los 40.000 € sustraídos a un cliente que sufrió un fraude con su tarjeta de crédito.