El sistema de telecompra en grandes almacenes ha permitido cargar la factura a otros abonados

El sistema informático de telecompra en grandes almacenes ha permitido hasta hace unos días que cualquier ciudadano adquiriese un producto o servicio y se lo cargara a la cuenta de otro, según comprobó este diario. Para ello era preciso sólo un ordenador con la tarjeta de Ibertex (que poseen 150.000 españoles), una línea telefónica y un poco de paciencia. El resultado delictivo pudo proporcionar artículos completamente gratis. Los habría pagado, sin saberlo, un abonado que no hubiese hecho la compra. Las empresas del sector, consultadas previamente por El PAÍS, ya han tomado medidas para evitar el fraude.

Un usuario de Madrid abrió la pasada semana su ordenador personal para efectuar unas compras mediante el sistema Ibertex, instaurado hace cuatro años y utilizado actualmente por empresas que desean facilitar las operaciones a sus clientes. Este usuario marcó primero en su teclado -conectado previamente a la línea de teléfono- los dígitos 031, que le dan paso a esta posibilidad de adquirir objetos o servicios. Tras leer la correspondiente indicación de la pantalla, tecleó los números del mecanismo de telecompra de unos grandes almacenes: "Bienvenido al servicio", leyó. Y a continuación: "Marque su número de acceso". El usuario pulsó los seis dígitos, aunque con uno equivocado, de lo que se apercibió enseguida. Pero el sistema informático no le advirtió de este detalle, sino que le permitió seguir operando.El abonado pensó que en cualquier momento se desharía el hechizo, y continuó con las operaciones por curiosidad. Hizo sus encargos y enseguida le apareció la dirección a la que serían enviados si no disponía otra cosa: un domicilio sevillano del que es titular el abonado Fernando Ruiz Mijares. El ordenador pensaba que quien estaba operando en el videoterminal era este usuario de Sevilla.

Encargo estrafalario

A la vista de que se había producido un error, el abonado madrileño hizo un encargo estrafalario: pidió 500 rollos de papel higiénico, en la seguridad de que se vería claramente que era una broma, (como así ocurrió y el envío no llegó a su destino).

Pero también pudo haber hecho un encargo para que le fuera enviado a su propia casa o a la de un amigo compinchado con él (el servicio prevé el envío a un domicilio distinto del que está registrado). El abonado de Sevilla sólo lo habría notado al revisar las cuentas resumen del mes, pero tal vez ni siquiera repararía en el gasto, de no ser excesivo. Podía tratarse de una telecompra más de las que hace normalmente. Más fácil aún resultaría engañar a un abonado-empresa con gran volumen de encargos, en el que una operación fraudulenta podría pasar inadvertida.

El usuario de Madrid acudió enseguida a mostrar su preocupación a un amigo que es profesional de la informática. Hicieron nuevas pruebas y pasaron horas marcando números al azar. Así hallaron a otros siete abonados: Enric Butraud, Mónica Subra Alfaro (Madrid), Jordi Bargallo Chaves -en este abono, el idioma que ofreció el ordenador fue el catalán-, Pilar Asensio Abad (Barcelona), Alejandro Barbosa Morán, Sirena Tabanera Rodríguez (Sevilla) y José González Souto (Orense).

En todos los casos averiguaron los datos personales de los abonados, el número de sus tarjetas de compra en los grandes almacenes y sus teléfonos.

Los dos amigos podían haber llenado de regalos a la familia sin apenas dejar rastro. Uno aquí, otro allí. Con un poco de habilidad, habrían conseguido que fuera casi imposible detectarles.

Pero se limitaron a dejar constancia de sus descubrimientos con algunos enigmáticos envíos más: decenas de latas de carne para perros y enormes mariscadas para regar con whisky.

Los dos amigos probaron también otra vía del sistema informático, que permite enviarse mensajes entre los usuarios. Buscaron la lista de nombres en una guía disponible al efecto en el programa de ordenador, y encontraron uno conocido: el cineasta Oscar Ladoire. Le escribieron un mensaje que decía: "Eres lamentable como actor".

Ladolie sabrá hoy así que no era un sentimiento sincero, sino una broma. El verdadero abonado -cuya firma habrá aparecido con el mensaje- tal vez piensa que es un gran actor. El informático amigo del usuario de Madrid interpreto que esta fragilidad del sistema tenía una explicación sencilla: el programa no cruzaba la clave personal con los datos del usuario. Es como si se introdujera una tarjeta en un cajero automático y funcionara aunque la clave secreta fuese errónea.

Directivos de los grandes almacenes señalaron ayer que, tras el aviso de este periódico, alteraron los requisitos de acceso. Ahora es necesario ya cruzar la clave personal con los datos de la tarjeta de compra.

Previamente, el responsable directo del servicio de telecompra de los grandes almacenes afectados, por estos casos había declarado que en la realidad resultaba muy difícil la estafa. Según esta versión, la empresa comprueba todos los pedidos que especifican un domicilio distinto del que tiene el abonado, y, le llama para corroborar ese envío. "Así, sólo cabía la broma de que un gracioso le enviara a un abonado cosas, que no ha pedido, pero éste, lógicamente, las devolvería y asunto concluido".

No obstante, este periódico comprobó la pasada semana dos casos derivados de los dos experimentos verosímiles que efectuó después el usuario en que no hubo verificación alguna.

Encargo 'normal'

Los pedidos llegaron a los domicilios sin que fueran corroborados. Uno de estos ciudadanos desavisados, que devolvió el paquete, protestó ante la empresa y le explicaron que se trataba de un pedido telefónico con cargo a su tarjeta. Y añadieron que lo habían cursado sin más requisitos por tratarse de un encargo "normal" (aceite, espárragos, alimentos y licores). La verdad era otra: los dos amigos hicieron la petición por ordenador, y enviaron los artículos a una persona que hallaron por azar en la guía telefónica. El ciudadano afectado se mostró indignado, en conversación con este periódico, al saber lo sucedido. Ante estos hechos, las referidas fuentes consultadas indicaron: "De acuerdo, pudo haber dos casos en que se produjera negligencia de los empleados. Pero en este año llevamos l6.000 pedidos y hasta estos días no ha habido nunca problemas".

Las fuentes de los grandes almacenes admiten que era posible obtener la clave de un abonado y operar con ella, y señalaron que ya habían notado que "alguien estaba jugando" con el sistema. Era posible también, según estas fuentes, obtener la dirección, el teléfono y el número de tarjeta de compra, y existía un margen para el bromista. Pero a ello oponen que los datos personales también Figuran en la guía telefónica, y que igualmente los bromistas pueden usar el teléfono para falsas alarmas de bomba o amenazas personales anónimas. "SI hubiéramos hecho un sistema blindado", indicaron, "habría sido más dificultosa su implantación. Pretendíamos facilitar las operaciones al abonado. No teníamos el blindaje informático, pero sí en la verificación posterior, en el envío". "Ahora, efectivamente, el servicio ha crecido mucho, y el que hayan podido darse casos así explica que ha alcanzado su madurez. Gracias a este descubrimiento, el sistema de acceso ya ofrece todas las garantías".