Malabarismos con las tarjetas: Haciendo negocios sucios en los cajeros automáticos

Sólo necesitas ser usario de una tarjeta bancaria para poder ser objetivo de los cibercriminales. ¿Cómo actúan y cómo puedes mantener tu cuenta de banco segura?

Hay que tener cuidado con los carteristas. Aunque de pequeño no te hayan enseñado a cuidar de tus bolsillos al estar fuera, la vida misma te da la oportunidad de aprender estas reglas. Lo mismo con los ciberdelincuentes. Hoy día, las acciones de los cibercriminales en Internet son conocidas hasta por los niños.
atm1Pero los skimmers  han perdido popularidad últimamente, lo cual es una pena ya que corres un alto riesgo de ser víctima de sus actividades. Este tipo de personas se especializan en robar credenciales de tarjetas con ayuda de miniaturas de hardware que instalan en cajeros automáticos de manera discreta. Aún con el esfuerzo de la policía, bancos y sistemas de pago, las cantidades de dinero que roban de cuentas bancarias continúan creciendo.

Estos ladrones son como un tipo de carteristas (con una habilidad parecida a la quiromancia) y, en un grado menor, son una especie de hackers (lo que hacen no es posible sin emplear trucos de alta tecnología y PC).

Para llegar a ser su objetivo sólo necesitas utilizar tu tarjeta para sacar efectivo. Si tu tarjeta no tiene chip, la situación es mejor para ellos, pero no para ti: las tarjetas sin chip son más fáciles de robar. Para incrementar el riesgo de ser víctima de estos ladrones, puedes continuar sin utilizar las notificaciones por mensaje de texto del banco, insertando tu tarjeta en cualquier cajero y enseñando tu código PIN. De esta manera puedes contar con recibir un mensaje con un sincero agradecimiento por parte de los ladrones.
atm2Hablando en serio, este negocio ilícito ha crecido y evolucionado a lo largo de los años. Su objetivo sigue siendo el mismo: utilizar técnicas sigilosas para leer la información de la banda magnética, buscar el código PIN, clonar la tarjeta y extraer la máxima cantidad de dinero de la cuenta bancaria correspondiente. Sin embargo, las técnicas de robo de información han evolucionado mucho.

Solo negocios

Hubo un tiempo en que estos ladrones utilizaban lectores de tarjetas DIY (Do It Yourself- Hazlo tú mismo), instalaban un hardware mal hecho en la bandeja de entrada de un cajero automático, con el riesgo de ser pillado en el acto de extraer la información manualmente. Pero los tiempos han cambiado. La industria ha avanzado y los entusiastas del DIY se han extinguido. Hoy día un robo está bien organizado y con procesos que ya están altamente automatizados.

El primer eslabón de la cadena de este proceso son los productores y vendedores de soluciones de hardware hechas de componentes que ya están disponibles en grandes cantidades. Los acuerdos se firman y pagan online, y los bienes son enviados a través de servicios de mensajería – es más seguro para los criminales.


Para que veas la prueba de lo popular que es el hardware para robar, solo haz una simple búsqueda en cualquier navegador. Los kits que contienen un lector para extraer información de una tarjeta de crédito, un panel para obtener códigos PIN, y un dispositivo de clonación incluido con el software correspondiente, se venden por 1.500 – 2.000 $ máximo, en comparación con los precios que se encontraban hace un par de años, que llegaban hasta los 10.000 $ según la estimación de Brian Krebbs, experto en seguridad de la información.

Los compradores de estos kits para robar no necesitan ser expertos: tienen a disposición manuales detallados con secciones incluso sobre “las mejores prácticas”. ¡Las instrucciones son tan detalladas que incluyen hasta recomendaciones para el primer uso de la batería y así asegurar que el lector disfruta de una vida útil mayor de la batería!

Maravillas de la tecnología

El progreso tecnológico junto con la demanda masiva, han impulsado la evolución de componentes electrónicos utilizados para actividades ilícitas. Los especialistas en seguridad recomiendan examinar cualquier cajero automático para detectar estas peculiaridades, pero estas recomendaciones se han vuelto obsoletas.

Para empezar, los vendedores criminales experimentados venden hardware que apenas puede distinguirse de los componentes originales de los cajeros automáticos. Ni siquiera un usuario consciente sería capaz de diferenciarlos: la bandeja de entrada falsa está hecha con un tipo de plástico del mismo color, sólo ligeramente diferente en la forma.

atm3La similitud se logra a través de adaptaciones deliberadas de elementos falsos de cajeros automáticos para modelos ampliamente usados- cualquiera tiene grandes bancos sirviendo a una gran cantidad de clientes. Por supuesto, las técnicas anti robo son utilizadas por los bancos como una medida de contención.

En segundo lugar, hay lectores que son instalados por los ladrones dentro de los cajeros automáticos a través de las bandejas de entrada. Esta novedad ha sido referencia en un informe reciente del European ATM Security Team (Equipo Europeo de Seguridad de ATM), una organización sin ánimo de lucro. Pero lo peor, es que ¡algunos de esos dispositivos ni siquiera se molestan en leer las bandas magnéticas, utilizan los propios recursos del cajero automático para hacerlo!

La extracción manual de la información robada también está muy anticuada. Los nuevos modelos de lectores están equipados con un módulo de GSM que sirve para enviar de forma codificada la información de la banda magnética (¡sí, los ladrones tienen competencia!), a través de redes celulares ordinarias.

Vigila tu PIN

Desde ese momento, conseguir el código PIN sigue siendo el eslabón más débil de la cadena. Para poder conseguir los códigos PIN, los ladrones utilizan cámaras miniatura o incluso dispositivos móviles como el iPod Touch, conocido por su tamaño y fino grosor así como su batería de larga duración.

Una cámara se instala sobre el teclado o un poco más lejos. Sin embargo, si una persona que está sacando dinero cubre el teclado con su mano, la cámara ya no sirve para nada. El vídeo tampoco es muy práctico para el envío o el proceso, y requiere una gran cantidad de trabajo manual.

Los paneles para los teclados de los cajeros automáticos se están volviendo más baratos y ahora cuestan menos de 1.000 € en el mercado negro, lo que agrava aún más la situación. Ya no tiene sentido cubrir el teclado, los paneles detectarán el PIN de todas formas. Enviar un código de 4 dígitos por mensaje de texto a la base de datos de un delincuente es mucho más fácil que procesar vídeos largos, y el proceso entero es mucho más automatizado.

Por supuesto el panel sobresale visiblemente sobre el teclado original, pero es difícil que cualquier usuario lo examine y se dé cuenta. Desde arriba, se ve bastante normal. Además, los paneles se hacen utilizando el mismo acero y la misma calidad de pintura del teclado original del cajero automático.

atm4Existe otra técnica más que estos delincuentes utilizan a menudo: protegen el software que utilizan para decodificar y clonar la información. Así es como se protegen ellos mismos de otros competidores y de las fuerzas de seguridad.

Si se utiliza una contraseña incorrecta, el software no informará al usuario de que ésta es incorrecta, simplemente se apagará. El ladrón al darle una contraseña falsa pero realista a la policía, les puede decir que el programa es un software inofensivo que ha descargado recientemente. Qué pena, no funciona…

Para comprobar que era un programa utilizado para actividades ilícitas, las fuerzas de seguridad tienen que contar con especialistas cualificados para analizar el código, que es un proceso tedioso y requiere mucho tiempo.

En resumen, la tecnología es solo parte de la historia. Muchas operaciones de robo se siguen haciendo manualmente y con mucho riesgo. Nos referiremos a esa parte de la historia en el siguiente post, y luego te daremos algunos consejos para proteger tu cuenta bancaria de fraudes.

Consejos