Cómo roban fondos de las tarjetas bancarias y cómo protegerte

Los servicios de pago son cada vez más convenientes y seguros, pero los ciberdelincuentes aún siguen robando fondos de tarjetas en todo el mundo. A continuación, te contamos cuáles son los métodos más comunes utilizados para este tipo de robo y cómo contrarrestarlos.

La clonación de tarjetas

Cuando las tarjetas solo almacenaban información en una banda magnética, era bastante fácil para los estafadores producir una copia exacta y usarla para pagar en las tiendas o sacar dinero en cajeros automáticos. Al principio, los datos se leían con un dispositivo especial: un skimmer que se instalaba en un cajero automático o en el terminal de una tienda. Esto se fue complementando con una cámara o una almohadilla especial en el teclado del terminal para averiguar el código PIN de la tarjeta. Tras obtener el volcado de la tarjeta y el PIN, los estafadores escribían los datos en una tarjeta en blanco y la usaban en un cajero automático o en una tienda.

Esta tecnología sigue funcionando en algunas partes del mundo, pero la llegada de las tarjetas con chip ha reducido considerablemente su eficacia. Este tipo de tarjetas no son tan fáciles de copiar, por ello los delincuentes comenzaron a infectar las terminales de pago con un código malicioso que copia algunos datos de la tarjeta mientras procesa una compra legítima. Después, los estafadores envían solicitudes de pago generadas con esta información. Básicamente, solo envían los datos que se han registrado previamente en la banda magnética, pero etiquetan la transacción como realizada por el chip. Esto resulta posible cuando los bancos no cruzan referencias de varios parámetros de transacción con suficiente detalle e implementan incorrectamente los protocolos EMV que deben cumplir todas las acciones de tarjetas con chip.

Con los bancos menos descuidados, los atacantes utilizan un truco aún más sofisticado. Cuando la víctima realiza un pago legítimo, el terminal de pago infectado solicita que la tarjeta insertada genere otra transacción fraudulenta. Por lo tanto, la tarjeta en sí no se copia, pero los fondos adicionales se deducen igualmente.

Cómo protegerte: intenta usar la función de pago sin contacto desde tu teléfono, que está mejor protegida. Si aún tienes que insertar una tarjeta en un terminal, verifica detenidamente el panel del código PIN en busca de modificaciones sospechosas y no te olvides de cubrirlo con tu mano, bolso u otro objeto cuando introduzcas el código. Si de repente el terminal no acepta el pago sin contacto, aparecen mensajes inusuales en la pantalla o solicita que introduzcas el PIN repetidamente, puedes comenzar a sospechar y tomar medidas de protección adicionales, como, por ejemplo, consultar de inmediato el estado de tu cuenta o establecer un límite de gasto bajo en la tarjeta.

Carteras “a prueba de balas”

Hoy en día podemos comprar carteras y bolsos protegidos con RFID, que protegen las tarjetas físicas de una lectura remota, por ejemplo, en el transporte público. No hay nada de malo con esta protección, lo cierto es que funciona. Sin embargo, esta situación de ataque es bastante inusual. Con un escaneo tan rápido solo se puede leer la información básica de la tarjeta y, por lo general, esto no es suficiente para realizar un pago. A su vez, es fácil averiguar las últimas ubicaciones y cantidades de pago sin contacto.

El robo de datos de tarjetas a través de internet

Aquí, los estafadores buscan los datos de la tarjeta bancaria para poder realizar pagos online. Por lo general, incluyen el número de tarjeta, la fecha de vencimiento y el código de verificación (CVV/CVC); además, dependiendo del país, también se puede solicitar el nombre del titular de la tarjeta, código postal o número de pasaporte. Los estafadores recopilan estos datos de tres formas diferentes:

1. Atrayendo a la víctima mediante la organización de una tienda online falsa, una copia de phishing de una tienda online real o con el pretexto de recaudar dinero para obras de caridad.
2. Interceptando información a través de la infección de la página web de una tienda online (web skimming) o el ordenador o smartphone de la víctima (troyano bancario).
3. Hackeando una tienda online y robando la información almacenada de la tarjeta de pago del cliente. Ten en cuenta que se supone que las tiendas no deben almacenar la información completa de la tarjeta, pero, por desgracia, a veces esta regla se infringe.

En general, este método de robo, aunque antiguo, ha llegado para quedarse; por ejemplo, según nuestro análisis, los ataques de robo de datos bancarios casi se duplicaron en el 2022.

Cómo protegerte: en primer lugar, hazte con una tarjeta virtual para tus pagos online. Si no es demasiado difícil o costoso, emite una nueva tarjeta virtual y bloquea la anterior al menos una vez al año. Segundo, establece un límite bajo en tu tarjeta para pagos online o simplemente ingresa muy poco dinero en ella. Tercero, asegúrate de que el banco siempre te solicite la confirmación de los pagos online con un código de un solo uso (usando 3-D Secure o mecanismos similares). Y cuarto, revisa cuidadosamente las formas de pago y las direcciones de los sitios donde hayas introducido información financiera. Para no tener que estar tan pendiente de este problema, usa herramientas de ciberseguridad que protejan de forma segura tus pagos online.

El robo de tarjetas y teléfonos a la antigua

Este es, por supuesto, el método de robo más notorio y flagrante, pero sigue siendo común. Los delincuentes expertos pueden usar las tarjetas para pagos online al encontrar una tienda que no requiera la introducción de códigos de verificación adicionales. Una forma más simple pero no por ello menos eficaz es usar una tarjeta robada para un pago sin contacto que no requiera la introducción del código un PIN. Por lo general, hay un límite para los pagos realizados de esta forma y, en algunos países, después de tres o cinco pagos de este tipo, la tarjeta se bloquea, pero en el Reino Unido, por ejemplo, las pérdidas de una víctima de este método primitivo de robo pueden llegar fácilmente a las 500 libras esterlinas (5 × 100 libras esterlinas). Un teléfono siempre es un objeto valioso para los ladrones y, si tiene habilitado Google Pay, incluso podrán pagar con el teléfono bloqueado dentro del límite de pago permitido, causando pérdidas adicionales a la víctima.

Los investigadores de seguridad han demostrado que incluso aunque una tarjeta se bloquee después de introducir el PIN incorrecto tres veces, a veces es posible realizar pagos sin contacto. Un atacante también podría intercambiar algunos datos con un teléfono bloqueado y luego usar registros modificados de ese intercambio para realizar pagos fraudulentos únicos. Afortunadamente, ambos tipos de ataque los han detectado unos investigadores éticos, por lo que existe la esperanza de que los estafadores ya no estén utilizando estos métodos.

Cómo protegerte: lo mejor es establecer límites de gasto relativamente pequeños en las tarjetas de uso diario. Si tu banco lo permite, puedes establecer un límite bajo exclusivamente para los pagos sin contacto. Por supuesto, debes asegurarte de que se pueda aumentar el límite rápidamente si surgiera la necesidad. Por otro lado, también puedes tener una tarjeta virtual emitida con límites bajos y vincularla con Google/Apple/Samsung Pay. Si la aplicación de pago se puede configurar para que solo permita pagos desde un teléfono desbloqueado, hazlo.

En conclusión, nos hemos percatado de que están surgiendo normas en muchos países por las cuales las víctimas son parcial o totalmente compensadas por fraude. Para aprovechar esto, te recomendamos que tengas cuidado con los pagos con tarjeta, configures la forma más rápida de recibir notificaciones (push o SMS) y te pongas en contacto con tu banco lo antes posible si percibes alguna transacción sospechosa.