Sobre cómo pagar nuestras
compras en tiendas físicas hay dos temas o debates abiertos: la posible eliminación o limitación del uso de dinero en efectivo y la implantación
de nuevos métodos de pago, como los pagos con el móvil. Pero mientras ambos se cierran, y no
parece que vayan para corto, nos seguiremos exponiendo a un problema cuando acudimos a un
cajero automático: la posibilidad de que nuestra tarjeta sea
clonada.
Hoy nos vamos a centrar en el lado tecnológico de los clonadores de tarjetas.
¿Cómo funciona esa tecnología que se queda con todos los datos de nuestra
tarjeta para dejarnos sin saldo en nuestras cuentas o con importantes deudas en
cuestión de segundos? Conozcamos a fondo cómo funciona y precauciones que podemos
tomar para no caer en la trampa.
SKIMMING,
TU TARJETA YA NO ES SEGURA
La clonación de tarjetas y el robo de los datos que contienen
sus bandas magnéticas, skimming en
su término en inglés, se
produce en muchas ocasiones en cajeros automáticos, aunque
también han salido a la luz casos de
trabajadores de establecimientos que contaban con un segundo lector de
tarjetas además del propio datáfono de la tienda para realizar dicho robo de
datos.
Los cajeros preferidos por los delincuentes son los no
situados en las propias oficinas bancarias, ya que éstos suelen ser los más vigilados.
Los delincuentes prefieren
cajeros callejeros, cuanto menos frecuentados mejor, para
situar en el lector de tarjetas un segundo lector camuflado bajo la misma
apariencia que el original, que será el que posteriormente recuperarán para
obtener toda la información de las tarjetas que por él hayan pasado.
Además, si lo que quiere el delincuente es clonar esa tarjeta, crearse
una a la semejanza de la original pero con otro nombre para hacer compras en
comercios físicos, también necesitan el PIN de
la tarjeta, información no contenida en ella. Para ello el método más empleado es el
de colocar una cámara escondida que grave como el usuario teclea su PIN en el
cajero.
CÓMO SE OBTIENEN LOS DATOS DE LAS TARJETAS
Todo lo relatado hasta ahora es relativamente sencillo, basta
con adentrarse en las profundidades de internet para empezar a hacer
el mal. En la deep web, y en webs de acceso fácil, se pueden obtener lectores
que se asemejan a los empleados por numerosos bancos en sus cajeros, teclados
también muy similares o las cámaras para grabar como el usuario introduce su número
PIN.
Una vez la tarjeta del usuario ha pasado por lector el skimmer ya tiene gran parte de la
fechoría completada, ya que la información de la tarjeta está ahí, sin
encriptaciones que superar. La banda magnética, presente en todo tipo de
tarjetas bancarias a pesar de la llegada del chip y las tarjetas contactless,
tiene tres pistas en las que según la ISO 7811 se graba toda la
información necesaria.
Es en la primera pista donde se concentra toda la información
que un skimmer ansía. Los primeros caracteres son los que contienen el
número de la tarjeta. Tras un primer separador se encuentra el nombre completo
del titular de la misma y de seguido se encuentra la fecha de caducidad y el
último dato relevante para hacer compras por internet con cualquier tarjeta,
código de seguridad o CVV.
TODO EL MATERIAL
QUE USAN LOS SKIMMERS ES MATERIAL LÍCITO PENSADO PARA OTROS USOS PERO QUE ÉSTOS
USAN PARA COMETER DELITOS
Con esa información, el skimmer ya tiene todo lo
necesario para hacer el mal, ya sea fabricándose su propia tarjeta física con dichos datos
(aunque necesitaría el PIN para hacer compras presenciales), usando los datos
conseguidos para realizar compras online o lo que hacen muchos de estos
delincuentes, vendiendo los datos a otros usuarios interesados en la deep web.
Y
si alguien piensa que trasladar
los datos obtenidos de una tarjeta de crédito a una nueva tarjeta es
un paso complicado en blanco se confunde. En internet es sencillo comprar el
dispositivo necesario para ello, ya que el mismo dispositivo se puede requerir
para fines totalmente lícitos como crear tarjetas de acceso. Ir con una tarjeta
en blanco a un comercio y comprar con ella, por mucho que contenga datos, sería
extraño, pero tampoco es complicado estampar una tarjeta para que aparente ser
una tarjeta bancaria más y no levantar sospechas.
Igualmente, si el skimmer quiere usar la tarjeta para compras en tiendas
físicas necesitará el PIN. Para ello son capaces de esconder diminutas cámaras
en distintos elementos que asemejan pertenecer al propio cajero para pasar
desapercibidas. De nuevo, dar con una cámara para dicha función que permiten
grabar vídeo a una tarjeta microSD, con una autonomía
de hasta 10 horas, es sencillo, no siendo cámaras
dedicadas para ello exclusivamente. También las hay incluso con conectividad
WiFi, por no hablar de aquellos delincuentes que usaron un iPod Nano.
RECOMENDACIONES: