Cómo descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo
Si tienes un euro en el bolsillo, y conoces el número de DNI del titular de la cuenta, te resultará muy sencillo descubrir el saldo de su cuenta, su nombre y apellidos, la dirección de su domicilio y los 20 dígitos correspondientes.
Cuando hablamos de “protección de datos” o de “medidas de seguridad” siempre nos viene a la cabeza aquellos mecanismos informáticos o físicos encaminados a proteger la información. Sin embargo, una vertiente muy importante de la seguridad de los datos comienza en el propio usuario que maneja la información o en los protocolos que la empresa tenga establecidos para ello.
Hoy voy a poner de manifiesto cómo es posible acceder a información personal de un cliente, obrante en una entidad financiera, sin vulnerar sus sistemas informáticos, simplemente haciendo uso normal de las herramientas que, en este caso la Caja de Ahorros del Mediterráneo, pone a disposición de sus clientes.
La teoría que se va a explicar ha sido verificada a lo largo de varios años y en varias sucursales de esta entidad, eso sí, todas ellas en Murcia, por lo que desconozco si la forma de proceder es igual en cualquier parte del territorio nacional.
El objetivo de la misión es conocer el saldo de la cuenta corriente de un cliente cualquiera de esta entidad (víctima). Para ello necesitamos las siguientes herramientas e información:
1º: Disponer en efectivo 1 euro o más.
2º: Conocer el número de DNI de la victima.
Aunque el objetivo es simplemente conocer el saldo, si todo sale bien obtendremos la siguiente información de la víctima:
- Saldo de su cuenta corriente
- Nombre y apellidos
- Dirección postal
- Número de su cuenta corriente
¿Cómo podemos conseguir esto?
Muy sencillo. Acudamos primero a cualquier sucursal de la CAM; una vez allí podemos tener la siguiente conversación con el cajero (reproducción aproximada de casos reales):
– Yo: hola, buenos días.
– Cajero: buenos días.
– Yo: venía a hacer un ingreso en MI cuenta
– Cajero: muy bien, ¿te sabes el número de cuenta?
– Yo: pues no, pero te digo mi DNI
– Cajero: perfecto, dime
– Yo: es el (aquí ponemos el DNI de la víctima).
– Cajero: ok, ¿cuánto querías ingresar?
– Yo: 1 euro, tome
– Cajero: ¬ ¬
– Cajero: ya está, aquí tiene su resguardo
– Yo: muchas gracias, hasta luego.
Misión completada… ah claro, os preguntaréis que de donde saco yo ahora el saldo de la cuenta de la víctima, su nombre, etc, bueno, pues toda esa información nos la ha dado la propia entidad en el resguardo.
Echemos un vistazo a la siguiente imagen que no es más que un resguardo escaneado de hace unos días (pincha en ella para verla más grande).
He quitado los datos personales, y aunque se entiende claramente paso a explicar cada campo, empezando desde arriba a la izquierda:
- 0102 Espinardo: la sucursal en concreto
- Fecha: la fecha de la operación de ingreso en efectivo
- CCC: 2090…… aquí aparece los 20 dígitos de la cuenta corriente del beneficiario, o sea, de la victima
- Nominal: cantidad que hemos ingresado
- Saldo en cuenta: lo que hay en la cuenta después de hacer el ingreso
- Abajo a la izquierda pone, D. …, aquí aparece el nombre completo del titular de la cuenta y su dirección
Esto se puede considerar una vulneración del artículo 10 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
Aquí el problema radica en el protocolo que tienen establecido en la CAM cuando un supuesto cliente realiza un ingreso en efectivo en su cuenta; no es excepcional que el cajero no me solicite físicamente mi carnet de identidad para asegurarse que soy realmente yo el titular de la cuenta y no un tercero como es el caso.
O en su defecto, que en los resguardos no aparezca toda esa cantidad de información y solamente la estrictamente necesaria.
Esta prueba se ha realizado en varias sucursales donde no se me conocía en absoluto.
En definitiva, sirva esta entrada como muestra de que lo de la protección de datos esa no es simplemente tener unos ficheros “dados de alta” en la AEPD, y tener unas cuantas cláusulas aquí y allá, sino que lo realmente importante es adoptar las medidas necesarias para evitar que terceros no autorizados accedan a la información personal de clientes, pacientes, etc… y esas medidas, por mucho que les cueste entender a algunas organizaciones, no es sólo poner un usuario y contraseña para entrar al ordenador.
Via: http://www.samuelparra.com