Cómo es que los criminales utilizan tu “doppelganger” para pagar con tu tarjeta

9 Abr 2019

Seguramente te suena familiar la paradoja según la cual los accidentes de avión llaman mucho más la atención de los medios que los accidentes de tráfico, a pesar de que el número de víctimas al año de este último es muy superior. Lo mismo sucede con otros ámbitos, incluyendo la ciberseguridad y el cibercrimen.

En el 2014, cuando descubrimos Carbanak, el grupo de cibercriminales que robó más de mil millones de dólares, hubo todo un revuelo mediático. Pero no debemos olvidarnos del fraude de tarjetas de crédito, que es más común, ocurre todos los días y supone pérdidas financieras mucho más significativas. Por ejemplo, The Nilson Report estima que en el 2018 el fraude de tarjetas generó una pérdida de unos 24 mil millones de dólares y está previsto que crezca considerablemente este año. El carding (nombre que utilizan los cibercriminales y especialistas de seguridad para denominar a este fraude de tarjetas) no ha llegado a su fin. De hecho, todo lo contrario, sigue creciendo.

Puede parecer sorprendente, ya que cada vez más bancos implementan sistemas estrictos de seguridad y soluciones inteligentes contra el fraude basadas en aprendizaje automático, además de todo tipo de protección contra el robo de fondos en tarjetas. En teoría, esto debería impedir al menos que los cibercriminales más novatos roben el dinero de las tarjetas, pero las estadísticas afirman todo lo contrario. De hecho, si preguntaras en un foro de la Darknet “¿cómo se inicia uno como cibercriminal?”, seguramente la respuesta sería “haciendo carding“.

Afortunadamente, el carding se ha complicado gracias a las medidas de seguridad implementadas por los bancos y las plataformas de pago. Pero, por desgracia, los sistemas contra el fraude no funcionan a la perfección y los servicios especiales, herramientas y tiendas necesarios para robar dinero de las tarjetas de crédito de otros están a disposición de cualquiera.

Huella digital: pedir prestada otra identidad para robar los fondos de su tarjeta

El investigador de Kaspersky Lab Sergey Lozhkin ha descubierto una tienda en la Darknet llamada Genesis que se utiliza para vender máscaras digitales a los usuarios. Nuestro compañero ya reveló esta información en la Security Analist Summit 2019. Una máscara es la huella digital de un usuario (su historial web, el sistema operativo y la información del navegador, como los complementos instalados y demás) e información sobre su comportamiento: qué hace online y cómo lo hace.

Pero ¿por qué los cibercriminales venden las máscaras y qué relación tienen con el carding? Las máscaras digitales se utilizan en los sistemas antifraude para verificar a los usuarios. Si la máscara digital coincide con la que ha mostrado anteriormente el usuario, el sistema antifraude considerará que la actividad es legítima. Por tanto, en el caso de muchos bancos, ni siquiera requerirán un código 3D Secure por SMS ni notificarán al usuario para confirmar la transacción.

Por tanto, si un cibercriminal consiguiera robar tu máscara digital y tus credenciales de la banca online, el sistema antifraude pensará que eres tú y no disparará ninguna alarma. De esta forma, el atacante puede vaciar todo el dinero de tu cuenta sin ser detectado.

Este es el motivo por el que algunos cibercriminales extraen los datos de los dispositivos de los usuarios y los ponen a la venta en Genesis. Otros compran esta información, que puede costar entre 5 y 200 dólares estadounidenses, dependiendo de la cantidad de datos y de las credenciales incluidas, y la utilizan para hacerse pasar por el propietario de la máscara digital.

Para ello, utilizan un complemento de navegador gratuito desarrollado por las personas responsables de Genesis y llamado Genesis Security. Este complemento les permite utilizar la máscara digital para recrear la identidad virtual del usuario legítimo y, por consiguiente, engañar a los sistemas antifraude. En resumen, modifica los parámetros que analiza el sistema antifraude para que coincidan con los del dispositivo de la víctima y reproduce su comportamiento.

Recopilación de huellas digitales

Entonces, ¿dónde consiguen los cibercriminales de Genesis todos los datos que venden? La respuesta es simple, pero un tanto difusa: a partir de varios tipos de malware.

No todos los tipos de malware intentan cifrar tus datos para pedir un rescate o robar tu dinero nada más acceder a tu dispositivo. Otros permanecen en silencio, recopilando todos los datos a su alcance y elaborando esas máscaras digitales que posteriormente se venden en Genesis.

Otras formas de evadir los sistemas antifraude

El primer método para esquivar los sistemas antifraude es resultar familiar, pero el otro es parecer completamente nuevo. Y, como los cibercriminales piensan en todo, hay un servicio en Internet para ello también.

Completamente nuevo significa que casi no hay parámetros coincidentes entre la máscara digital utilizada y cualquier otra máscara digital que el servicio tenga en cuenta. Es decir, el cibercriminal no podrá iniciar sesión en un servicio con un sistema antifraude, aunque instalen un nuevo navegador en su ordenador, si algunos de los parámetros (como el hardware, la resolución de pantalla y demás información del ordenador) son los mismos a los de la máscara digital utilizada anteriormente.

Pero un servicio llamado Sphere permite a los cibercriminales crear una nueva identidad digital y personalizar todos los parámetros para que el sistema de prevención de fraude las conciba como algo completamente nuevo. Y no tiene motivo para desconfiar de esa nueva persona.

Di no a los doppelgangster

El problema es que no importa el sistema de prevención, las técnicas siguen funcionando, ya que los algoritmos de estos sistemas que determinan si el usuario tiene permiso a acceder a los fondos dependen de los mismos datos que recopilan los cibercriminales.

Entonces, ¿puede uno protegerse contra el fraude de tarjetas?

En cuanto a los bancos, habría que introducir de forma obligatoria la autentificación de doble factor, utilizando incluso la biometría, como el lector de huellas (real, no digital), el análisis de iris o el reconocimiento facial. Además, deben de estar al tanto de los distintos tipos de fraude que emergen; de otro modo, no implementarán medidas para combatir el fraude.

Desde la perspectiva del usuario, para protegerte de este tipo de fraude de tarjetas, solo tienes que asegurarte de que nadie recopile tu máscara digital. Y, para ello, tienes que instalar una solución de seguridad de confianza que eliminará todo rastro de malware que intente falsificar tus datos.