Si tienes un euro en el bolsillo, y conoces el número de DNI del titular de la cuenta, te resultará muy sencillo descubrir el saldo de su cuenta, su nombre y apellidos, la dirección de su domicilio y los 20 dígitos correspondientes.



Cuando hablamos de “protección de datos” o de “medidas de seguridad” siempre nos viene a la cabeza aquellos mecanismos informáticos o físicos encaminados a proteger la información. Sin embargo, una vertiente muy importante de la seguridad de los datos comienza en el propio usuario que maneja la información o en los protocolos que la empresa tenga establecidos para ello.

Hoy voy a poner de manifiesto cómo es posible acceder a información personal de un cliente, obrante en una entidad financiera, sin vulnerar sus sistemas informáticos, simplemente haciendo uso normal de las herramientas que, en este caso la Caja de Ahorros del Mediterráneo, pone a disposición de sus clientes.

La teoría que se va a explicar ha sido verificada a lo largo de varios años y en varias sucursales de esta entidad, eso sí, todas ellas en Murcia, por lo que desconozco si la forma de proceder es igual en cualquier parte del territorio nacional.

El objetivo de la misión es conocer el saldo de la cuenta corriente de un cliente cualquiera de esta entidad (víctima). Para ello necesitamos las siguientes herramientas e información:

1º: Disponer en efectivo 1 euro o más.
2º: Conocer el número de DNI de la victima.

Aunque el objetivo es simplemente conocer el saldo, si todo sale bien obtendremos la siguiente información de la víctima:

1. Saldo de su cuenta corriente
2. Nombre y apellidos
3. Dirección postal
4. Número de su cuenta corriente

¿Cómo podemos conseguir esto?

Muy sencillo. Acudamos primero a cualquier sucursal de la CAM; una vez allí podemos tener la siguiente conversación con el cajero (reproducción aproximada de casos reales):

- Yo: hola, buenos días.
- Cajero: buenos días.
- Yo: venía a hacer un ingreso en MI cuenta
- Cajero: muy bien, ¿te sabes el número de cuenta?
- Yo: pues no, pero te digo mi DNI
- Cajero: perfecto, dime
- Yo: es el (aquí ponemos el DNI de la víctima).
- Cajero: ok, ¿cuánto querías ingresar?
- Yo: 1 euro, tome
- Cajero: ¬ ¬
- Cajero: ya está, aquí tiene su resguardo
- Yo: muchas gracias, hasta luego.

Misión completada… ah claro, os preguntaréis que de donde saco yo ahora el saldo de la cuenta de la víctima, su nombre, etc, bueno, pues toda esa información nos la ha dado la propia entidad en el resguardo.

Echemos un vistazo a la siguiente imagen que no es más que un resguardo escaneado de hace unos días (pincha en ella para verla más grande).



He quitado los datos personales, y aunque se entiende claramente paso a explicar cada campo, empezando desde arriba a la izquierda:

* 0102 Espinardo: la sucursal en concreto
* Fecha: la fecha de la operación de ingreso en efectivo
* CCC: 2090…… aquí aparece los 20 dígitos de la cuenta corriente del beneficiario, o sea, de la victima
* Nominal: cantidad que hemos ingresado
* Saldo en cuenta: lo que hay en la cuenta después de hacer el ingreso
* Abajo a la izquierda pone, D. …, aquí aparece el nombre completo del titular de la cuenta y su dirección

Esto se puede considerar una vulneración del artículo 10 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece:


Aquí el problema radica en el protocolo que tienen establecido en la CAM cuando un supuesto cliente realiza un ingreso en efectivo en su cuenta; no es excepcional que el cajero no me solicite físicamente mi carnet de identidad para asegurarse que soy realmente yo el titular de la cuenta y no un tercero como es el caso.
O en su defecto, que en los resguardos no aparezca toda esa cantidad de información y solamente la estrictamente necesaria.

Esta prueba se ha realizado en varias sucursales donde no se me conocía en absoluto.

En definitiva, sirva esta entrada como muestra de que lo de la protección de datos esa no es simplemente tener unos ficheros “dados de alta” en la AEPD, y tener unas cuantas cláusulas aquí y allá, sino que lo realmente importante es adoptar las medidas necesarias para evitar que terceros no autorizados accedan a la información personal de clientes, pacientes, etc… y esas medidas, por mucho que les cueste entender a algunas organizaciones, no es sólo poner un usuario y contraseña para entrar al ordenador.

ACLARACIÓN DEL AUTOR: en vista de algunos correos electrónicos que me están llegando, así como los comentarios que se están escribiendo en esta entrada, debo hacer las siguientes aclaraciones:

a) No se ha suplantado la identidad de nadie: este artículo es una simple prueba de concepto realizado sobre mis propios datos. Los datos personales borrados del resguardo son los mios propios, obtenidos cuando me he identificado como yo mismo ante la CAM, por tanto, tampoco se ha obtenido ninguna información personal de terceros.

b) Quien se haya creido que han despedido al supuesto trabajador de la CAM en Espinardo por este artículo deberá revisarse su sentido de la credulidad. El supuesto “extrabajador de la CAM” que firma algún comentario en esta entrada es el mismo que luego responde pero con otro nombre distinto, intoxicando a los lectores. (Los próximos comentarios en ese sentido te los borraré).

c) Nada me impediría que en vez de dar mi DNI pudiera dar el de otra persona, porque como digo, los de la CAM no tienen por costumbre pedir el DNI físicamente (al menos a mí no me lo piden ni en las sucursales que no me conocen), y por eso me animo a escribir este artículo, para mostrar que los datos personales deben ser protegidos desde varios frentes y no solo el informático.

d) Hablo de la CAM porque es donde he vivido estas circunstancias, pero posiblemente ocurra en otras entidades. No tengo nada en contra de la CAM.

Blog de Samuel Parra: Cómo descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo

Aplicable a cualquier entidad financiera... A CUALQUIERA!

Sencillamente porque no te obligan a presentar el DNI para hacer un ingreso

__________________

Nos envidian porque España tiene lo mejor de los países europeos: sueldos portugueses, precios alemanes, impuestos suecos, corrupción búlgara, honradez rumana, política italiana, banca albanesa, sanidad britanica y engreimiento frances.

Según la LOPD, hasta 600.000€ la bromita oyga!

si y no,

partes de un engaño , primero partes de una hipotética suplantación de identidad, lo cual supongo que es delito.

Eso me recuerda que en algún sitio de estos aparecía mi foto del DNI, pero no recuerdo cual ( si banco u otro organismo)

__________________

Eliminación de las CCAA ya , imposición de la pena de muerte y ajusticiamiento público de los politicuchos que han perpetrado el expolio.

es muy curioso esto que cuentas


en la bbk, laboral e ipar kutxa no pasa, creo

__________________



ojito con las inmobiliarios

ultimas tablas de cajas actualizadas

2006: First, they ignore you (phase 1)
2007: Then, they laugh at you (phase 2)
200 Then, they fight you (phase 3)
2009: Then, you win (phase 4)
2010: Now, capitulación

No me lo habia planteado, hace siglos que no piso una sucursal, todo a traves de Internet

Bueno, a través de los BOEs y similares te puedes enterar de la vida de media ejpaña. Y hasta hace poco, todos disponibles en el Google -aunque cada vez lo limitan más-.

__________________

Nos envidian porque España tiene lo mejor de los países europeos: sueldos portugueses, precios alemanes, impuestos suecos, corrupción búlgara, honradez rumana, política italiana, banca albanesa, sanidad britanica y engreimiento frances.

y no sera... que cuando introducen tu dni... les sale en la pantalla tu foto? o una fotocopia de tu dni??
o un scaner te lee la pupila de los ojos y la coteja con la central y autoriza el justificante...
no?

__________________

古池や (Furu ike ya)
かわず飛び込む (kawazu tobikomu)
水の音 (mizu no oto).