Un grupo de seis individuos está siendo investigado por robar $440 millones a Cleo, empresa chilena de pagos online. La entidad tecnológica —con sede en Las Condes— interpuso una querella contra los acusados por el delito de fraude informático.
Según el libelo —al que accedió BBCL Investiga—, el ataque habría afectado a dos de sus principales clientes, los sitios de apuestas Megawin y Rojabet. De acuerdo con el documento judicial, los atacantes —mediante un sofisticado plan de acción— burlaron el sistema informático de la empresa para realizar cientos de reembolsos ficticios, lo que les permitió transferir cuantiosas sumas a sus cuentas.
Cleo Chile SpA es una empresa tecnológica dedicada a facilitar pagos digitales en tres países de Latinoamérica: Chile, Perú y México. Su producto principal —presente en su plataforma— radica en la intermediación de pagos: conectan a empresas, fundamentalmente de la industria del iGaming, con sus clientes.
MODUS OPERANDI
Los hechos se remontan a octubre de este año. Según el escrito, el 5 y 6 de aquel mes, seis personas que no trabajan en Cleo burlaron los canales informáticos de la empresa y realizaron 225 reembolsos, que se tradujeron en $440 millones de pesos.
Para realizar el fraude, habrían ingresado al sistema interno de Cleo Chile, llamado Back Office, utilizando credenciales válidas. Es decir, con un nombre de usuario y contraseña legítimos pertenecientes a empleados o personas autorizadas de los comercios con los que trabaja la entidad, Rojabet y Megawin.
Luego de entrar a la plataforma, obtuvieron un token de sesión, una clave temporal generada por el sistema que sirve para confirmar la identidad de los usuarios. Una vez obtenida la clave, no utilizaron la interfaz normal de la plataforma. Los atacantes detectaron una dirección oculta del sistema —que no contaba con los controles de seguridad habituales— y enviaron las órdenes de reembolso directamente a esa URL.
La dirección en cuestión, por ejemplo, no registraba si las compras eran exitosas. Esta omisión —según detalla la denuncia— les permitió a los atacantes realizar dos acciones que normalmente serían imposibles: solicitar reembolsos sobre transacciones de compra previamente rechazadas y múltiples reembolsos sobre una misma transacción fallida, es decir, cobrar varias veces una devolución que debía realizarse solo una vez.
LOS SITIOS DE APUESTAS
De esta manera, los involucrados dividieron sus operaciones entre Rojabet y Megawin, dos de los sitios de apuestas que solicitan los servicios de Cleo Chile.
Desde Megawin se emitieron 131 reembolsos falsos por un total de $256.760.000, que terminaron en cuentas del Banco Santander de tres de los individuos.
Paralelamente, en una segunda tanda, se realizaron 94 reembolsos desde Rojabet. Se transfirieron $184 millones a cuentas del Banco Falabella, beneficiando a otros tres implicados.
En la querella se establece que, además de las seis personas mencionadas, otros seis individuos intentaron manipular de manera ilícita la plataforma. Dichos atacantes no tuvieron éxito: la empresa había tomado los recaudos necesarios tras el primer ataque.
Luego de sufrir la vulneración de su plataforma, Cleo Chile realizó una investigación interna que permitió identificar las direcciones IP de los atacantes. A partir de este hallazgo, se logró constatar que, además de los 225 reembolsos, se intentaron realizar otros 73 adicionales por un monto de $124.726.821.
Dicha operación ilícita no tuvo éxito, ya que —según se expresa en el documento judicial— en ese momento ya se había deshabilitado el sistema interno.
QUE DICE CLEO
En conversación con BBCL Investiga, desde Cleo se refirieron al ataque experimentado:
—Cleo detectó recientemente el uso indebido de credenciales asociadas a uno de los comercios que operan con nuestra pasarela de pago. De forma inmediata activamos protocolos de seguridad, suspendiendo temporalmente algunas operaciones mientras se realizaban las verificaciones necesarias —recalcan.
En la misma línea, enfatizan que la protección de los datos y la seguridad de las transacciones de sus clientes son una prioridad para la empresa. Además, sostienen que continuarán el monitoreo proactivo de cualquier situación que pudiera afectar la integridad de su sistema interno o de los comercios que confían en ellos.
Desde la entidad tecnológica o Fintech buscan que el Ministerio Público formalice y condene a los imputados a las máximas penas contempladas por la ley, además de exigir el reembolso de todos los gastos legales del juicio.