La famosa billetera electórnica Todo Pago quedó en el ojo de la tormenta esta semana, luego que una usuaria descubriera que terceros estuvieron haciendo débitos no autorizados en su tarjeta a través de esta plataforma.
“La manera más simple, práctica y segura de pagar y vender”, así se describe la app en su página web oficial. La billetera virtual de Prisma (Visa), sin embargo, permite a terceros quitar dinero de cuentas bancarias con sólo tener una foto de la tarjeta de débito de la víctima.
El relato de Elena Paolini, una damnificada, se viralizó en Twitter y desnudó las falencias de seguridad de la app.
“Todo Pago es una billetera virtual que permite pagar cosas, y, entre otras funcionalidades, sacar plata de cajeros sin tener la tarjeta, a través de la generación de un PIN”, comenzó explicando Paolini. En su larga serie de tuits, la damnificada agregó que, una vez instalada la aplicación en un teléfono y haciendo un registro mínimo, se cargan los datos que aparecen en la tarjeta de débito -entre ellos la fecha de vencimiento y la clave de seguridad que figura al dorso del plástico- y la misma ya queda habilitada para la maniobra.
Bueno, acá estoy. Hoy estuve todo el día averiguando qué pasó con mi cuenta. Por qué me robaron plata. Y ahora ya lo sé. Quiero que no les pase a ustedes. Es medio largo esto, pero no es una pavada. Y tengo todo bien chequeado.
Como ya saben, hoy entré a mi homebanking del Galicia para chequear si me habían pagado un freelo (obvio que no). Y veo DOCE extracciones por cajero de 500 pesos. Ningún detalle más que ese. 6 lucas.
Paolini se encontró con una serie de débitos en su cuenta bancaria que ella no había realizado por un total de 6.000 pesos. De inmediato, llamó al banco, pero allí no le pudieron dar una respuesta a su problema.
Me atendieron MUY bien (porque mi sucursal es fantástica, tengo la de Callao, que no es como la de Villa Crespo). Pero no me dijeron información ni de la re emisión ni sobre en qué cajeros habían hecho las extracciones. Llenamos todos los papeles y me fui.
Mientras hacía el trámite, le conté al muchacho que había visto que se había pedido una re-emisión de mi tarjeta de débito y en el banco no me supieron explicar por qué. “Te hackearon”, fue la conclusión.
Mientras hacía el trámite, le conté al muchacho que había visto que se había pedido una re-emisión de mi tarjeta de débito y en el banco no me supieron explicar por qué. “Te hackearon”, fue la conclusión.
Pero yo solo uso home banking en mi casa. ¿Cómo me habían hackeado? Seguramente entonces me habían clonado la tarjeta (aunque esto no explicaba la re emisión).
“No me la podrían haber clonado en un cajero porque hace meses y meses que no uso (porque soy muy ahorrativa, chicos). Y si me la clonaban en un restaurant, cómo sabían mi pin? Mi clave alfa numérica?”, se preguntó.
A continuación, en cuatro rapidos tuits, Paolini explicó cómo fue la metodología que usaron para sacar plata de su cuenta sin saber el PIN. El culpable: Todo Pago.
Bueno, amigos, no pasó nada de eso. La re emisión fue default porque se me está por vencer la tarjeta, y para sacarme plata NO NECESITARON MI PIN NI CLONAR MI TARJETA. Quiero contarles cómo fue para que no les pase.
¿Conocen Todo Pago? Es una billetera virtual que les permite pagar cosas, y, entre otras funcionalidades, SACAR PLATA DE CAJEROS SIN TENER LA TARJETA, A TRAVES DE LA GENERACION DE UN PIN QUE SE HACE DESDE LA APP.
¿Conocen Todo Pago? Es una billetera virtual que les permite pagar cosas, y, entre otras funcionalidades, SACAR PLATA DE CAJEROS SIN TENER LA TARJETA, A TRAVES DE LA GENERACION DE UN PIN QUE SE HACE DESDE LA APP.
Te sirve, por ejemplo, si tu pibe se queda sin plata, le mandás un pin, va a un cajero y saca sin problemas.
Te sirve, por ejemplo, si tu pibe se queda sin plata, le mandás un pin, va a un cajero y saca sin problemas.
Para poder linkear la cuenta de Todo Pago a una cuenta de banco SOLO NECESITAS UNA TARJETA DE DEBITO. O una FOTO de una tarjeta de débito, que la sacás con un celular en un segundo.
Para poder linkear la cuenta de Todo Pago a una cuenta de banco SOLO NECESITAS UNA TARJETA DE DEBITO. O una FOTO de una tarjeta de débito, que la sacás con un celular en un segundo.
Bajás la app, te registrás con cualquier mail y ponés los datos de la tarjeta de débito. Y eso es TODO lo que hay que hacer. Eso me hicieron a mí. Usaron los datos de mi tarjeta de débito con un mail trucho. Miren qué fácil es. pic.twitter.com/tp9fyiPXPx
Irónicamente, la víctima siguió con su relato: “Pero Elena, ¿vos sos medio pelotuda? ¿Cómo no te diste cuenta? Bueno, para empezar no me llegó ninguna notificación de que me había dado de alta, porque NO USARON MI MAIL, si bien LINKEARON LA TARJETA A MI CUENTA”. Y agregó: “Entré a mi homebanking a la parte de billetera virtual y descubrí que me habían linkeado mi tarjeta con este mail, que no es el mío”.
Entré a mi homebanking a la parte de billetera virtual y descubrí que me habían linkeado mi tarjeta con este mail, que no es el mío. pic.twitter.com/nkD4BQK9XC
Con todo linkeado, los cacos simplemente abren la app y generan PINs para sacar dea 500 pesos. En mi caso lo hicieron en dos cajeros de Lanús. (La app del banco Galicia me dio este dato que no me pudieron dar en el banco).
Con todo linkeado, los cacos simplemente abren la app y generan PINs para sacar dea 500 pesos. En mi caso lo hicieron en dos cajeros de Lanús. (La app del banco Galicia me dio este dato que no me pudieron dar en el banco).
Al parecer, cuando linkeás una tarjeta de débico ni Todo Pago ni el banco Galicia verifican que la tarjeta esté siendo linkeada a la cuenta de todo pago por el titular. Solo se fijan que sea una tarjeta válida que no esté linkeada a otra cuenta de Todo Pago.
Con las de crédito no pasa, porque tienen que verificarlas. Te hacen un cargo para que vos corrobores y recién ahí te las habilitan.
Para que quede más claro, si pagaste un café y le diste tu tarjeta de débito a alguien, le pueden sacar una foto y usarla para una cuenta de Todo Pago. Te vas a enterar cuando entres a tu home banking y veas esto (divino y fácil gracias al rediseño, amo) pic.twitter.com/co2xifHA4F
Y si te pasa, entrás a “cuentas”, billetera virtual y cuando trates de registrarte vas a ver que usaron otro mail pero que ya te registraron.
Una manera de evitarlo es hacerte una cuenta en Todo Pago y que no te puedan usar la tarjeta para otra cuenta. Otra es que Todo Pago y los bancos tengan un mínimo protocolo de seguridad.
