Cómo descubrir el saldo de una cuenta corriente en la Caja de Ahorros del Mediterráneo

Si tienes un euro en el bolsillo, y conoces el número de DNI del titular de la cuenta, te resultará muy sencillo descubrir el saldo de su cuenta, su nombre y apellidos, la dirección de su domicilio y los 20 dígitos correspondientes.

Cuando hablamos de «protección de datos» o de «medidas de seguridad» siempre nos viene a la cabeza aquellos mecanismos informáticos o físicos encaminados a proteger la información. Sin embargo, una vertiente muy importante de la seguridad de los datos comienza en el propio usuario que maneja la información o en los protocolos que la empresa tenga establecidos para ello.

Hoy voy a poner de manifiesto cómo es posible acceder a información personal de un cliente, cobrante en una entidad financiera, sin vulnerar sus sistemas informáticos, simplemente haciendo uso normal de las herramientas que, en este caso la Caja de Ahorros del Mediterráneo, pone a disposición de sus clientes.

La teoría que se va a explicar ha sido verificada a lo largo de varios años y en varias sucursales de esta entidad, eso sí, todas ellas en Murcia, por lo que desconozco si la forma de proceder es igual en cualquier parte del territorio nacional.

El objetivo de la misión es conocer el saldo de la cuenta corriente de un cliente cualquiera de esta entidad (víctima). Para ello necesitamos las siguientes herramientas e información:

: Disponer en efectivo 1 euro o más.
: Conocer el número de DNI de la victima.

Aunque el objetivo es simplemente conocer el saldo, si todo sale bien obtendremos la siguiente información de la víctima:

  1. Saldo de su cuenta corriente
  2. Nombre y apellidos
  3. Dirección postal
  4. Número de su cuenta corriente

¿Cómo podemos conseguir esto?

Muy sencillo. Acudamos primero a cualquier sucursal de la CAM; una vez allí podemos tener la siguiente conversación con el cajero (reproducción aproximada de casos reales):

Yo: hola, buenos días.
Cajero: buenos días.
Yo: venía a hacer un ingreso en MI cuenta
Cajero: muy bien, ¿te sabes el número de cuenta?
Yo: pues no, pero te digo mi DNI
Cajero: perfecto, dime
Yo: es el (aquí ponemos el DNI de la víctima).
Cajero: ok, ¿cuánto querías ingresar?
Yo: 1 euro, tome
Cajero: ¬ ¬
Cajero: ya está, aquí tiene su resguardo
Yo: muchas gracias, hasta luego.

Misión completada… ah claro, os preguntaréis que de donde saco yo ahora el saldo de la cuenta de la víctima, su nombre, etc, bueno, pues toda esa información nos la ha dado la propia entidad en el resguardo.

Echemos un vistazo a la siguiente imagen que no es más que un resguardo escaneado de hace unos días (pincha en ella para verla más grande).

He quitado los datos personales, y aunque se entiende claramente paso a explicar cada campo, empezando desde arriba a la izquierda:

  • 0102 Espinardo: la sucursal en concreto
  • Fecha: la fecha de la operación de ingreso en efectivo
  • CCC: 2090…… aquí aparece los 20 dígitos de la cuenta corriente del beneficiario, o sea, de la victima
  • Nominal: cantidad que hemos ingresado
  • Saldo en cuenta: lo que hay en la cuenta después de hacer el ingreso
  • Abajo a la izquierda pone, D. …, aquí aparece el nombre completo del titular de la cuenta y su dirección

Esto se puede considerar una vulneración del artículo 10 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece:

«El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.»

Aquí el problema radica en el protocolo que tienen establecido en la CAM cuando un supuesto cliente realiza un ingreso en efectivo en su cuenta; no es excepcional que el cajero no me solicite físicamente mi carnet de identidad para asegurarse que soy realmente yo el titular de la cuenta y no un tercero como es el caso.
O en su defecto, que en los resguardos no aparezca toda esa cantidad de información y solamente la estrictamente necesaria.

Esta prueba se ha realizado en varias sucursales donde no se me conocía en absoluto.

En definitiva, sirva esta entrada como muestra de que lo de la protección de datos esa no es simplemente tener unos ficheros «dados de alta» en la AEPD, y tener unas cuantas cláusulas aquí y allá, sino que lo realmente importante es adoptar las medidas necesarias para evitar que terceros no autorizados accedan a la información personal de clientes, pacientes, etc… y esas medidas, por mucho que les cueste entender a algunas organizaciones, no es sólo poner un usuario y contraseña para entrar al ordenador.

ACLARACIÓN DEL AUTOR: en vista de algunos correos electrónicos que me están llegando, así como los comentarios que se están escribiendo en esta entrada, debo hacer las siguientes aclaraciones:

a) No se ha suplantado la identidad de nadie: este artículo es una simple prueba de concepto realizado sobre mis propios datos. Los datos personales borrados del resguardo son los míos propios, obtenidos cuando me he identificado como yo mismo ante la CAM, por tanto, tampoco se ha obtenido ninguna información personal de terceros.

b) Quien se haya creído que han despedido al supuesto trabajador de la CAM en Espinardo por este artículo deberá revisarse su sentido de la credulidad. El supuesto «extrabajador de la CAM» que firma algún comentario en esta entrada es el mismo que luego responde pero con otro nombre distinto, intoxicando a los lectores. (Los próximos comentarios en ese sentido te los borraré).

c) Nada me impediría que en vez de dar mi DNI pudiera dar el de otra persona, porque como digo, los de la CAM no tienen por costumbre pedir el DNI físicamente (al menos a mí no me lo piden ni en las sucursales que no me conocen), y por eso me animo a escribir este artículo, para mostrar que los datos personales deben ser protegidos desde varios frentes y no solo el informático.

d) Hablo de la CAM porque es donde he vivido estas circunstancias, pero posiblemente ocurra en otras entidades. No tengo nada en contra de la CAM.

Leave A Comment

Your email address will not be published. Required fields are marked *