En la primera parte de este tópico habíamos abordado la violación a tarjetas de crédito por parte de ciber criminales. En el artículo de hoy nos enfocaremos en cómo se llevan a cabo las prácticas de hurtos bancarios más peligrosas, conocidas como skimming.
Tercerizando los procesos de skimming
El skmming en sí no requiere mayor ciencia. Sin embargo, algunas operaciones son riesgosas (entre ellas, el proceso de instalación de hardware). Dichas funciones suelen tercerizarse a especialistas.
Un profesional experto requiere aproximadamente 30 segundos para instalar equipos de skimming, un proceso que solo se puede lograr luego de completar diversas varias etapas de trabajo de preparación y realizar labores de inteligencia, entre ellas el análisis de la locación y cámaras de vigilancia, así como entender las horas idóneas para llevar a cabo la fechoría (todo ello con la ayuda de un asistente que tenga cercanía con el objeto).
Un instalador hábil es, de igual manera, difícil de desprestigiar. Un hombre con aspecto duro, despiadado y muy bien vestido notaría algo extraño en el cajero automático y querría confirmar sus sospechas antes de llamar a la policía. El daño no es, por tanto, fácil de probar, sobre todo si el culpable ha prescindido de pegamento y de aplicaciones de instalación. Es por esta razón que los bancos recomiendan a los usuarios mantenerse alejados de cualquier asunto sospechoso que puedan notar y llamar a la policía inmediatamente en caso de ser necesario.
Más allá de los cajeros automáticos, a los skimmers les interesan otra clase de terminales que aceptan tarjetas bancarias. Ello incluye gasolineras, máquinas expendedoras de billetes en las estaciones de tren, entre otras. Dichos equipos pasan más desapercibidos en comparación a los cajeros automáticos. ¿La razón? Suelen carecer de la protección adecuada.
Cosecha criminal
Tan pronto como el hardware es instalado, los criminales pasan a la siguiente fase: la cosecha. Deben hacer el mejor uso de su tiempo para clonar tantas tarjetas como les sea posible antes que la estafa se descubra: mientras más rápido el banco descubre el acto criminal, las probabilidades que los tarjeta habientes bloqueen sus plásticos es más alta.
Si nadie nota los “ajustes” hechos a los cajeros automáticos, la estafa puede perdurar hasta que la batería se agota por completo, vulnerando así a miles de tarjetas.
Acto seguido: los skimmers más codiciosos desmantelan el equipo, mientras que los más inteligentes se retiran ante el riesgo de ser atrapados. De cualquier modo, es claro el beneficio que reciben los malhechores (cuantiosas sumas de dinero).
Extraer dinero de tarjetas clonadas es un tipo de fechoría de alto riesgo, y que está al margen de los actos criminales mencionados anteriormente. Es por tal motivo que dicha parte de la estafa suele ser tercerizada con frecuencia (a dichos sujetos se les suele llamar “mulas”).
A veces las mulas acuerdan un porcentaje de ganancia con los skimmers. Sin embargo, hay esquemas en los que las mulas compran paquetes bandas magnéticas de datos robadas y actúan de manera autónoma.
Ser crudo no es lo mismo que ser bueno
La razón por la cual robar dinero usando tarjetas es tan fácil está asociada con cuán primitiva es la seguridad tecnológica implicada. Las primeras bandas magnéticas surgieron hace un par de generaciones, en la mitad del siglo XX, cuando los equipos para clonar y robar credenciales eran desconocidos.
A reasonable portion of offline paranoia may save money online: https://t.co/ZGkvthc12o
— Eugene Kaspersky (@e_kaspersky) December 18, 2014
Los datos registrados en las bandas magnéticas están, de hecho, protegidos por un código PIN -corto y vulnerable- que permita justificar las transacciones. Posteriormente aparecieron distintos tipos de tecnología de protección reforzada algo que, en la actualidad siguen siendo opcionales.
No hace falta decir que los sistemas de pago y los bancos han pasado años tratando de dar solución a este problema. Tarjetas EMV mejor equipadas (con una banda magnética y un chip integrado) han sido utilizadas en Europa desde hace más de 20 años.
La diferencia radica en el hecho de que un chip no se puede clonar de la misma forma que una tira magnética. Los cajeros automáticos piden tarjetas con chip con el objetivo de crear una clave única, que si bien puede ser robada imposibilita su uso nuevamente.
Investigadores de seguridad reportaron una serie de vulnerabilidades de tarjetas EMV, que suelen ser muy difíciles de usar en la práctica. Se trata de un hecho que podría sacar a los skmimers del ruedo; sin embargo, existe un problema: migrar a las EMV es un camino largo, complejo y costoso, e implica a muchos involucrados en el proceso.
Todo debería migrar: sistemas de pago, bancos, fabricantes de terminales de punto de venta y cajeros automáticos, entre muchos otros. Es por eso que muchos países, incluyendo a los desarrollados, siguen usando de las tarjetas con la tecnología tradicional.
Dicho esto, a las tarjetas con EMV también se les puede extraer dinero. Con el objetivo de proporcionar compatibilidad con terminales heredados y resilicencia aumentada, la transacción no debería ser completada con chip, sino más bien con la banda magnética.
En los EE.UU., los skimmers suelen ser más activos gracias a programas de gran escala y de alcance nacional para la utilización de EMV. Así lo dio a conocer el Equipo de Seguridad de ATM Europeo. Indonesia, Tailandia, Bulgaria y Rumania lideran estas lides.
Una docena de #tips muy sencillos podría mitigar los riesgos de caer en las redes de los skimmers de #CajerosAutomáticos
Tweet
Los bancos pueden, en efecto, reembolsar el dinero robado por los skimmers a los usuarios, especialmente en los casos en los que la responsabilidad pueda ser transferida a otros agentes, sea un sistema de pago, un propietario de un cajero automático, o una compañía de seguros. No obstante, son altas las probabilidades de que el titular de la tarjeta sea el responsable de lo que suceda.
Reglas para sobrevivir al skimming
No existen tips a prueba de balas que te den seguridad ante las fechorías de un skimmer. Sin embargo, a continuación listamos 12 que podría ayudar a mitigar los riesgos:
1. Si tu tarjeta carece de un chip EMV, lo mejor es que no la uses. De hecho, tu banco debería reemplazarla. El uso del chip no garantiza la seguridad, pero ayuda a mitigar el riesgo.
2. Activa la opción de notificaciones por SMS para dar seguimiento a las transacciones. Cuanto antes descubras el hurto a tus productos bancarios, mayores serán las posibilidades de obtener devuelta tu dinero.
3. Si no sueles viajar frecuentemente, averigua si tu banco puede limitar el límite geográfico de tus tarjetas de crédito. Es una medida que ha servido en algunos países europeos.
4. No utilices la tarjeta para grandes gastos. Cuanto menos transacciones hagas con ella (sobre todo en lugares nuevos), mucho mejor. Para operaciones de alto riesgo podrías utilizar una tarjeta con un bajo límite de crédito.
Some tips on what to do if your credit card gets hacked, via the @Kaspersky Daily: http://t.co/lnFCmLsJcV
— Brian Donohue (@TheBrianDonohue) November 17, 2014
5. En caso de utilizar un cajero automático, elije uno que esté bien iluminado y en un lugar seguro –como por ejemplo los ubicados dentro de las oficinas bancarias.
6. Al introducir el PIN, colócate lo más cerca del cajero que puedas y procura tapar el teclado numérico con tu mano. No olvides cambiarlo regularmente, especialmente luego de haber experimentado una operación riesgosa.
7. Mantén los ojos bien abiertos ante situaciones extrañas en los cajeros automáticos y sus alrededores. No todos los skimmers son profesionales o utilizan equipos especializados. No pienses siquiera en pasar la tarjeta a través de un “limpiador de banda magnética”‘ que suelen estar cerca del equipo (por extraño que parezca, hay gente que cae en esta trampa).
8. Cuenta todos los billetes que el cajero te dé. Existen “trampas” que los retienen antes de que los puedas tomar con tus manos. Si el equipo no te devuelve el plástico, podrías haber sido víctima dn un engaño, para lo cual es vital que llames a tu banco inmediatamente, sin salir del terminal. Estas estafas se han hecho muy populares en los países europeos después de la implementación de la tecnología EMV.
9. No dejes de dar seguimiento a tu tarjeta cuando pagues en restaurantes o tiendas –existen escáneres manuales que las clonan.
10. No enseñes tus tarjetas a desconocidos y jamás envíes fotos de ellas a nadie. Muchos sitios web permiten hacer transacciones sin código CVV2 (impreso en el reverso de la tarjeta), y mucho menos utilizan el soporte de autenticación de dos factores.
Recuerda estar alerta. Una tarjeta bancaria es algo útil, de eso no hay duda. Pero a veces usarla a nuestra conveniencia nos puede jugar en contra. Y recuerda: es mejor para por ridículo y paranoico que por inocente.
Traducido por: Maximiliano De Benedetto