cajero automatico
En la primera parte del artículo, hablamos sobre la tecnología utilizada por los ladrones de tarjetas de crédito. Hoy vamos a hablar de la otra parte de la historia, sobre cómo los criminales llevan a cabo los procesos de skimming más peligrosos.
Externalizar los procesos de skimming
La mayor parte del trabajo no requiere de un skimmer cualificado. Algunas operaciones, sin embargo, incluyendo el proceso de instalación del hardware, son bastante arriesgadas. A veces, estas funciones se delegan en “especialistas” externos.
Un profesional experto tarda cerca de 30 segundos en instalar el equipo necesario para hacer skimming. Esto se hace sólo una vez completadas varias etapas de preparación y recopilación de información, incluyendo el análisis de la ubicación y las cámaras de vigilancia, así como tras averiguar las horas laborables más tranquilas, todo ello con la ayuda de un asistente que vigila las proximidades del objetivo.
Ciminal instala skimmer en cajero automático. Foto: wtsp.com
También es difícil encontrar a un instalador competente. Suele ser una persona fría y bien vestida, que si es vigilado, alegaría que ha sucedido algo extraño en el cajero automático y que se encontraba confirmando sus sospechas antes de llamar a la policía. Esto hace que luego sea muy difícil probar la estafa, sobre todo si el culpable se ha librado de las pruebas. Por eso los bancos recomiendan a los usuarios no tocar nada sospechoso y llamar a la policía inmediatamente.
Además de en los cajeros automáticos, los estafadores están interesados en otro tipo de terminales que aceptan tarjetas como método de pago. Por ejemplo, gasolineras, máquinas expendedoras de billetes en las estaciones de tren y, en general, todo tipo de máquinas expendedoras. Generan menos sospechas en la gente, en comparación con los cajeros automáticos y no están tan fuertemente protegidos.
La cosecha
Una vez instalado el hardware, los criminales preparan la segunda etapa de la estafa, la ‘cosecha’. Tienen que aprovechar este tiempo para clonar tantas tarjetas como les sea posible antes de que se descubra la estafa: en cuanto el banco es consciente de que esta se está produciendo, aumentan las probabilidades de que los titulares de las tarjetas ‘cosechadas’ las bloqueen. Para controlar la situación, habrá un cómplice sentado en un coche o en una cafetería frente al cajero automático objetivo de la estafa.
Si nadie se da cuenta de que los cajeros automáticos tienen algunos “retoques” y los agentes de seguridad del banco tampoco son conscientes, la estafa funcionará hasta que la batería del cajero se agote por completo, comprometiendo hasta mil tarjetas.
Después, los estafadores más codiciosos desmantelan el equipo y los más inteligentes lo abandonan, para minimizar el riesgo de ser capturados. De todas formas, el beneficio acumulado por el robo de las tarjetas puede ser de miles de dólares, lo que compensa el coste del equipo.
Retirar dinero de las tarjetas clonadas es una operación de alto riesgo y por eso, esta etapa de la estafa con frecuencia se subcontrata. Como norma general, varias personas, conocidas como “mulas”, están involucradas en este proceso.
A veces, las mulas simplemente le entregan el dinero al estafador y se llevan un porcentaje previamente acordado de los ingresos. Pero hay estafas en las que las mulas compran paquetes de datos de tarjetas de banda magnética robadas y actúan de forma autónoma, con frecuencia desde otras partes del mundo.
La precisión lo es todo
El motivo por el cual es tan fácil robar dinero en efectivo de las tarjetas bancarias es que el sistema de seguridad es muy primitivo. Las primeras bandas magnéticas nacieron hace un par de generaciones, a mediados del siglo pasado, cuando la equipación para robar y clonar las credenciales de las tarjetas era todavía desconocida.
De hecho, los datos registrados en la banda magnética solo están protegidos por un código PIN, corto y vulnerable, que sirve para justificar las transacciones. Existen varios tipos de sistemas de protección reforzados que aparecieron más tarde, pero siguen siendo opcionales.
Sobra decir que los sistemas de pago y los bancos llevan años intentando solucionar este problema. Las tarjetas EMV, más robustas, están equipadas con una banda magnética y un chip integrado, se utilizan en Europa desde hace más de 20 años.
La diferencia está en el hecho de que un chip no se puede clonar de la misma forma que una tira magnética. Un cajero automático solicita una tarjeta con chip para crear una clave única y de un solo uso, que puede robarse, pero será nula para otra transacción.
Los investigadores de seguridad han informado acerca de una serie de vulnerabilidades en las tarjetas con chip EMV, pero es bastante difícil que se produzcan en la práctica. Por lo tanto, esta evolución podría acabar con el negocio de los estafadores, pero hay un problema: la migración a tarjetas EMV es un proceso largo, complejo y costoso que implica a varias partes.
A reasonable portion of offline paranoia may save money online: https://t.co/ZGkvthc12o
— Eugene Kaspersky (@e_kaspersky) December 18, 2014
Todos deben cambiar: los sistemas de pago, los bancos, las empresas, los fabricantes de terminales de punto de venta y cajeros automáticos y muchos otros. Por eso, muchos países, incluidos los mercados desarrollados, utilizan tarjetas anticuadas y no tarjetas con chip EMV.
Dicho esto, incluso con una tarjeta con basada en EMV pueden robarte dinero. Para que sea compatible con versiones anteriores y aumentar la resistencia, una transacción puede llevarse a cabo sin utilizar el chip, basándose en los datos de banda magnética.
En EE.UU, donde se está llevando a cabo un programa a gran escala de implementación nacional de tarjetas con chip EMV, los estafadores están más activos, según ha informado el Equipo Europeo de Seguridad de Cajeros Automáticos. En Asia, Indonesia y Tailandia, y en Europa, Bulgaria y Rumania, también son líderes en términos de riesgo.
Una docena de sencillos #consejos podría minimizar los riesgos de ser víctima de una #estafa en los cajeros automáticos
Tweet
Los bancos podrían ser capaces de reembolsar el dinero robado por los estafadores, especialmente en casos en los que la responsabilidad puede transferirse a otro agente, ya sea un sistema de pago, un propietario del cajero automático, o una compañía de seguros. Pero las probabilidades de que el responsable sea el titular de la tarjeta son altas, después de todo, hay numerosos casos que demuestran que es así.
Normas de supervivencia
No hay ningún consejo a prueba de balas que te garantice al 100% que tu tarjeta no será víctima de una estafa, pero hay una docena de sencillos consejos que pueden minimizar los riesgos.
1. Si tu tarjeta no está equipada con el chip EMV, será mejor que no la utilices. Tu banco puede reemplazarla por una tarjeta EMV. Utilizar el chip no te garantiza la máxima seguridad, pero puede reducir el riesgo.
2. Activa la opción de notificaciones por SMS para un mejor seguimiento de tus operaciones. Cuanto antes descubras un robo, mayores serán las posibilidades de que te devuelvan el dinero.
3. Si no viajas con frecuencia, investiga si tu banco puede limitar la zona geográfica de tus operaciones (cuando salgas del país puedes ‘activar’ la zona geográfica del país a donde vas). Ésta es una medida muy eficiente que se ha comprobado que merece la pena en muchos países europeos.
4. No utilices una tarjeta que tenga mucho dinero. Cuanto menos la utilices para transacciones, sobre todo en lugares nuevos (en el extranjero por ejemplo), mejor. Para operaciones de alto riesgo es mejor que utilices una tarjeta con poco límite.
5. En caso de utilizar un cajero automático, elige los que estén localizados en un lugar seguro – dentro de un banco, por ejemplo. Evita utilizar cajeros automáticos en rincones aislados de centros comerciales.
6. Al introducir el PIN, ponte lo más cerca posible del cajero automático, de manera que puedas cubrir el teclado con tu mano. Es probable que un vecino o una cámara te espíen el PIN. No te olvides de cambiar tu PIN regularmente (en un cajero automático de confianza o con un asesor del banco), especialmente después de hacer transacciones de alto riesgo.
7. Mantente atento a cualquier rareza que pueda haber en el cajero automático y en los alrededores. No todos los estafadores son profesionales o tienen un equipo adecuado. No se te ocurra pasar la tarjeta por ‘limpiadores de banca magnética’ localizados cerca de los cajeros automáticos (por raro que parezca, mucha gente cae en este sencillo truco).
8. Cuenta todos los recibos que tengas del cajero automático. Existen trampas instaladas en las bandejas que capturan los billetes de manera individual. En caso de que un cajero automático no te devuelva la tarjeta, esto también podría ser una señal de estafa – llama al banco inmediatamente, sin alejarte del terminal. Este tipo de fraudes se hizo muy popular en los países europeos después de la implementación de EMV – en este caso, el estafador necesitaría tu tarjeta con chip.
9. Al pagar en restaurantes y tiendas, no pierdas de vista tu tarjeta – hay un gran número de escáneres para clonar tarjetas, y un PIN es fácil de averiguar.
10. No enseñes tu tarjeta a extraños y nunca envíes o publiques fotos de ésta. Muchas páginas web permiten completar transacciones sin el código CVV2, que se encuentra impreso en la parte posterior de tu tarjeta, y es mejor dejarlo si no tiene verificación en dos pasos (con contraseña de un solo uso).
Sólo mantente alerta. Una tarjeta bancaria es una herramienta muy útil, pero a veces sus ventajas se pueden volver en tu contra. Recuerda: es mejor ser ridículo y paranoico que lamentarse y estar arruinado.
Consejos