Tarjetas de clientes de Aeropost se usaron para comprar pasajes de tren y juegos

(CRHoy.com) La tarjeta de débito de Giancarlo Cruz sufrió el 25 de abril pasado una deducción de $1 que el titular de la cuenta dejó pasar por alto. Un día después, se le debitó $89,87 por una suscripción en Utah, Estados Unidos, que él ni siquiera tiene claro el tipo de servicio que provee.

Fue hasta entonces, y después de informarse en CRHoy.com sobre las filtraciones de información bancaria de clientes de la empresa de casilleros aéreos Aeropost, que este mánager de un equipo de cotizaciones, de 27 años de edad, se puso a hacer las averiguaciones del caso.

En la bandeja de spam de su correo electrónico dio con una comunicación de la compañía, que le advertía que su tarjeta podría estar comprometida.

Una situación similar vivieron al menos otros tres usuarios de Aeropost que -al igual que el vecino de Alajuelita- relataron sus vivencias a este medio, aunque bajo el compromiso de que sus nombres no fueran revelados, por temor a represalias.

Las tarjetas comprometidas de estas víctimas se usaron para comprar desde pasajes de tren en España hasta artículos de una tienda en línea de golf.

Uno de esos casos corresponde al de un ingeniero en sistemas de Moravia, de 39 años.

"Estoy trabajando y en eso me llega un correo, el jueves anterior (21 de abril) que decía ‘cargo realizado'. Yo dije: ‘Qué raro'. Lo abrí y me aparecen €307,5 de una compra realizada en España y un nombre raro. Me pongo a buscar el nombre y al parecer es una tienda de venta de tiquetes de tren ese país. Es un montón de plata. Yo vi entonces la hora (de la transacción) y eran las 10:45 de la mañana, habían pasado apenas dos minutos", contó este cliente.

Un homólogo y vecino de este último, pero de 45 años, vivió una situación todavía peor, ya que de su tarjeta de crédito realizó una compra por $5.351 en productos de entrenamiento del sitio web Putterwheel.

"El lunes después de Semana Santa (18 de abril) me meto a revisar los movimientos de mi tarjeta de crédito, que lo trato de hacer regularmente, y noté una transacción que yo no había hecho, por un monto muy alto. Esa transacción ocurrió el 14 de abril, amanecer Jueves Santo. No recibí ninguna notificación del banco, aunque se supone que los bancos tienen sistemas para alertar de transacciones que se salen de su patrón de consumo… o por lo menos eso es lo que yo entiendo. Y por supuesto que una transacción de este tipo se sale de mi patrón y no recibí ninguna notificación, me di cuenta básicamente porque me metí a revisar.

"En ese no sabía de dónde se habían filtrado mis datos, porque yo soy una persona muy cuidadosa con eso. (…) Fue hasta el día 24 que Aeropost mandó un correo a los clientes afectados. Yo vi que lo tenía en el spam y ahí me di cuenta que fue por culpa por esta filtración de datos", indicó este ofendido.

Ambos usuarios hicieron el reporte respectivo a sus entidades financieras, donde les cancelaron las tarjetas y les efectuaron un contracargo, en el que les devolvieron los montos rebajados, mientras se lleva a cabo una investigación que puede tardar hasta 120 días. Cruz, por su lado, al cierre de esta publicación estaba a la espera que su cobro se materialice para poder emprender el mismo proceso.

Otro ingeniero en sistemas, de 43 años y de Grecia, sufrió seis cargos a su tarjeta de crédito por un total de ¢94.500. Lo anterior por la compra -efectuada desde Alemania- de tres videojuegos en la tienda en línea Steam Games. Por cada uno se cancelaron ¢31.000, más un cobro previo de ¢500 (conocido como penny test, con la que ciberdelincuentes comprueban si una cuenta tiene o no dinero antes de realizar un transacción). Los cobros se hicieron el 24 de abril, entre las 5:47 a.m. y 5:52 a.m.

Esta víctima relató que se contactó con su banco tan pronto recibió la primera notificación y que incluso, pudo ver en tiempo real cuando hacían las demás transacciones, mientras esperaba a atendido por su entidad financiera.

Además, el ofendido buscó directamente a la tienda y les reportó que sus compras no habían sido autorizadas; ante lo cual, procedieron de inmediato con una reversión de la transacción.

Salvo el ingeniero en sistemas de 39 años, los demás afectados aseguraron haber perdido la confianza en la empresa, razón por la cual dejarán de utilizar sus servicios.

Ataque "eliminado"

CRHoy.com remitió un cuestionario al director ejecutivo regional de Aeropost, Carlos Herrera, incluida una sobre cuál será la responsabilidad de la empresa, en casos como el del cargo de $5.321.

Al respecto, se limitó a responder:

Estamos activamente trabajando con nuestros clientes para conseguir soluciones a los cargos fraudulentos y gastos administrativos que enfrenten. Para ello hemos creado un equipo especializado para atender los casos de manera individual a través de payments@aeropost.com.

El representante de la compañía además enfatizó que el ataque informático sufrido -que trascendió el 24 de abril anterior- "fue eliminado y contenido", sin ahondar en detalles de cómo se logró contrarrestar la amenaza y de qué tipo era esta.

También precisó que "este es el único incidente del que hemos sido víctimas en más de 30 años de operación y afectó a clientes de todas nuestras subsidiarias, no solo a Costa Rica". La empresa ya había señalado que la información divulgada incluía al 6% de sus usuarios, sin detallar cuántas personas representa ese porcentaje.

"Una vez que el ataque fue controlado y nuestros clientes notificados estamos en la fase de análisis forense por una compañía independiente y trabajo con las autoridades gubernamentales y bancarias en los distintos países a fin de cumplir con nuestra responsabilidad legal y más importante llevar a estos criminales a enfrentar las consecuencias legales que corresponden", agregó.

El director ejecutivo regional de la empresa aseguró que toda la información de pago de sus clientes estaba encriptada -o sea, "inaccesible"- en sistemas de la empresa Tokenex, bajo un ambiente estándar de seguridad de datos para la industria de tarjeta de pago (PCI).

Las medidas tomadas de manera preventiva incluyeron eliminar data de pagos y resetear los credenciales de todos nuestros clientes a fin de garantizar que ninguna persona distinta al cliente pueda accesar sus cuentas.

Carlos Herrera, director ejecutivo regional de Aeropost

Ante lo anterior, Herrera invitó a sus usuarios a renovar sus claves aeropost.com, haciendo click en la pestaña ‘olvidé mi contraseña'.

"En Aeropost, la privacidad y la seguridad son de extrema importancia, por lo que, por supuesto, continuaré monitoreando muy de cerca esta situación y haremos todo lo posible para continuar ganándonos la confianza de nuestros clientes todos los días", sostuvo el representante de la compañía.

-->Durante el fin de semana recibimos reportes de intentos de fraude cometidos con tarjetas de clientes de Aeropost. A pesar que nuestros sistemas mantienen toda la información de nuestros clientes encriptada y bajo una zona certificada PCI, nuestro protocolo de seguridad identificó actividad no común en un servidor utilizado para manejo de archivos. La potencial exposición incluye a 6% de nuestros clientes.

Estamos comprometidos a ayudar a todos y cada uno de nuestros clientes y por esto estamos actuando con medidas que, si bien pueden generar inconvenientes, eliminan cualquier riesgo adicional.

Las acciones tomadas incluyen:

1. Dimos de baja al servidor vulnerado y los servicios de transmisión de datos que lo incluyen.

2. Eliminamos todas las credenciales en nuestros sistemas (contraseñas) e información de pago.

3. Abrimos canales de colaboración con entidades bancarias y gubernamentales para poder identificar a los agresores y proteger a nuestros clientes de cargos fraudulentos.

4. Contactamos vía email a todos los clientes que pudieron haber sido afectados y les pedimos tomar medidas adicionales de revisión de sus estados de cuenta y solicitud de reemplazo de tarjetas a sus bancos.

5. Creamos un equipo especializado de contacto para atender a cada cliente afectado. Este equipo se puede contactar vía payments@aeropost.com.

Si bien estamos trabajando directamente con bancos emisores a fin de facilitar el proceso y reducir o eliminar los costos administrativos asociados al reemplazo de las tarjetas, ellos requieren que cada tarjetahabiente los contacte de manera directa.

De la misma manera, sabemos que nuestros clientes tienen preocupaciones relacionadas con cargos fraudulentos. Las empresas emisoras de tarjetas están familiarizadas con casos como estos y tienen protocolos preestablecidos para eliminar esos cargos y proteger al tarjetahabiente.

Hemos creado esta página de preguntas frecuentes donde resolvemos las principales inquietudes relacionadas a este incidente así como si un cliente fue o no afectado, el proceso de recuperación de sus contraseñas y el procesamiento de pagos mediante PayPal.
Reiteramos nuestro compromiso con cada uno de nuestros clientes y actuaremos de la manera mís exhaustiva posible para minimizar el impacto de este evento.[/accordionx]