Cómo descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo

Si tienes un euro en el bolsillo, y conoces el número de DNI del titular de la cuenta, te resultará muy sencillo descubrir el saldo de su cuenta, su nombre y apellidos, la dirección de su domicilio y los 20 dígitos correspondientes.

Cuando hablamos de “protección de datos” o de “medidas de seguridad” siempre nos viene a la cabeza aquellos mecanismos informáticos o físicos encaminados a proteger la información. Sin embargo, una vertiente muy importante de la seguridad de los datos comienza en el propio usuario que maneja la información o en los protocolos que la empresa tenga establecidos para ello.

Hoy voy a poner de manifiesto cómo es posible acceder a información personal de un cliente, cobrante en una entidad financiera, sin vulnerar sus sistemas informáticos, simplemente haciendo uso normal de las herramientas que, en este caso la Caja de Ahorros del Mediterráneo, pone a disposición de sus clientes.

La teoría que se va a explicar ha sido verificada a lo largo de varios años y en varias sucursales de esta entidad, eso sí, todas ellas en Murcia, por lo que desconozco si la forma de proceder es igual en cualquier parte del territorio nacional.

El objetivo de la misión es conocer el saldo de la cuenta corriente de un cliente cualquiera de esta entidad (víctima). Para ello necesitamos las siguientes herramientas e información:

: Disponer en efectivo 1 euro o más.
: Conocer el número de DNI de la victima.

Aunque el objetivo es simplemente conocer el saldo, si todo sale bien obtendremos la siguiente información de la víctima:

  1. Saldo de su cuenta corriente
  2. Nombre y apellidos
  3. Dirección postal
  4. Número de su cuenta corriente

¿Cómo podemos conseguir esto?

Muy sencillo. Acudamos primero a cualquier sucursal de la CAM; una vez allí podemos tener la siguiente conversación con el cajero (reproducción aproximada de casos reales):

Yo: hola, buenos días.
Cajero: buenos días.
Yo: venía a hacer un ingreso en MI cuenta
Cajero: muy bien, ¿te sabes el número de cuenta?
Yo: pues no, pero te digo mi DNI
Cajero: perfecto, dime
Yo: es el (aquí ponemos el DNI de la víctima).
Cajero: ok, ¿cuánto querías ingresar?
Yo: 1 euro, tome
Cajero: ¬ ¬
Cajero: ya está, aquí tiene su resguardo
Yo: muchas gracias, hasta luego.

Misión completada… ah claro, os preguntaréis que de donde saco yo ahora el saldo de la cuenta de la víctima, su nombre, etc, bueno, pues toda esa información nos la ha dado la propia entidad en el resguardo.

Echemos un vistazo a la siguiente imagen que no es más que un resguardo escaneado de hace unos días (pincha en ella para verla más grande).

He quitado los datos personales, y aunque se entiende claramente paso a explicar cada campo, empezando desde arriba a la izquierda:

  • 0102 Espinardo: la sucursal en concreto
  • Fecha: la fecha de la operación de ingreso en efectivo
  • CCC: 2090…… aquí aparece los 20 dígitos de la cuenta corriente del beneficiario, o sea, de la victima
  • Nominal: cantidad que hemos ingresado
  • Saldo en cuenta: lo que hay en la cuenta después de hacer el ingreso
  • Abajo a la izquierda pone, D. …, aquí aparece el nombre completo del titular de la cuenta y su dirección

Esto se puede considerar una vulneración del artículo 10 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Aquí el problema radica en el protocolo que tienen establecido en la CAM cuando un supuesto cliente realiza un ingreso en efectivo en su cuenta; no es excepcional que el cajero no me solicite físicamente mi carnet de identidad para asegurarse que soy realmente yo el titular de la cuenta y no un tercero como es el caso.
O en su defecto, que en los resguardos no aparezca toda esa cantidad de información y solamente la estrictamente necesaria.

Esta prueba se ha realizado en varias sucursales donde no se me conocía en absoluto.

En definitiva, sirva esta entrada como muestra de que lo de la protección de datos esa no es simplemente tener unos ficheros “dados de alta” en la AEPD, y tener unas cuantas cláusulas aquí y allá, sino que lo realmente importante es adoptar las medidas necesarias para evitar que terceros no autorizados accedan a la información personal de clientes, pacientes, etc… y esas medidas, por mucho que les cueste entender a algunas organizaciones, no es sólo poner un usuario y contraseña para entrar al ordenador.

ACLARACIÓN DEL AUTOR: en vista de algunos correos electrónicos que me están llegando, así como los comentarios que se están escribiendo en esta entrada, debo hacer las siguientes aclaraciones:

a) No se ha suplantado la identidad de nadie: este artículo es una simple prueba de concepto realizado sobre mis propios datos. Los datos personales borrados del resguardo son los míos propios, obtenidos cuando me he identificado como yo mismo ante la CAM, por tanto, tampoco se ha obtenido ninguna información personal de terceros.

b) Quien se haya creído que han despedido al supuesto trabajador de la CAM en Espinardo por este artículo deberá revisarse su sentido de la credulidad. El supuesto “extrabajador de la CAM” que firma algún comentario en esta entrada es el mismo que luego responde pero con otro nombre distinto, intoxicando a los lectores. (Los próximos comentarios en ese sentido te los borraré).

c) Nada me impediría que en vez de dar mi DNI pudiera dar el de otra persona, porque como digo, los de la CAM no tienen por costumbre pedir el DNI físicamente (al menos a mí no me lo piden ni en las sucursales que no me conocen), y por eso me animo a escribir este artículo, para mostrar que los datos personales deben ser protegidos desde varios frentes y no solo el informático.

d) Hablo de la CAM porque es donde he vivido estas circunstancias, pero posiblemente ocurra en otras entidades. No tengo nada en contra de la CAM.

57 comentarios en “Cómo descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo”

  1. HOLA A TODOS,VAMOS A VER,YO MISMO HE IDO A OTRA SUCURSAL DONDE MI PADRE TIENE EL DINERO,Y HE PROCEDIDO DE LA MISMA FORMA QUE SE CITA,PARA MI SORPRESA CASI VOI PRESO,GRACIAS A QUE LLAME A MI PADRE Y VINO COMO UN MISIL MENUDA VERGUENZA NO VUELVO A HACER LA TONTERIA,UN SALUDO PARA TODOS

    Responder
  2. No me extraña lo que hacen en la cam,saon una manada de mentirosos que juegan con nuestro dinero .Si fuera gracias a la cam ahora ,yo no tendria ni para ncomer.Son una manada de vividores ,mentirosos y cagados .A la mierda la cam

    Responder
  3. Peor aún, en la banca online hay dos opciones cuando quieres un resguardo o justificante, uno te da el justificante de transferencia y el otro ademas de eso tu cuenta la suya y tu saldo total ademas de titulares en cuenta…total que por no estar bien señalado a mi me pasó de enviar el justificante que tiene datos completos, a jorobarse ahora hay alguein ue tiene mis datos y ademas mi saldo que es algo grandecito y todo por no señalar bien los del banco traigo un cabreo…¿puede haber lgun problema al saber mi cuenta, saldo total, nombre y dni y direccion de casa…vamos aparte de riesgo de asalto para robarme…estoy que me doy de cabezazos por no haberme dado cuenta que no señalaba eso que se veia todo…al menos podian haberlo señalado en color negro o rojo que se viera bien porque se confunden justificante y movimiento de cuenta y ale los datos al aire tal cual están los tiempos de peligrosos…y eso que no es que tenga millones caramba….

    Responder

Deja un comentario