Es noticia
Los nuevos sistemas para duplicar tarjetas bancarias sin dejar rastro
  1. Tecnología
el 'skimming' se moderniza con la tecnología

Los nuevos sistemas para duplicar tarjetas bancarias sin dejar rastro

Vas al cajero, sacas dinero y te vas. Todo ocurre con normalidad, pero puede hayas dado a un delincuente la información que necesita para asaltar tu cuenta

Foto:

No confíes tus datos bancarios por teléfono ni los consignes en emails que recibas, aunque tengan la apariencia de provenir de tu banco. Paga siempre utilizando plataformas de pago seguras y activar siempre que sea posible los dos factores de verificación para hacer compras por internet. Todos estos consejos y algunos más son las precauciones básicas a tomar cuando compramos por internet para evitar que algún hacker se haga con la información de nuestra tarjeta y la adquisición termine convirtiéndose en un disgusto.

Pero junto a esos intentos de robo hay otros más tangibles que pueden ocurrir cuando acudimos al cajero a sacar dinero. Los sistemas para robar tarjetas sin llegar a robarlas, simplemente haciéndose con la información que contiene y las hace funcionales, se han ido haciendo cada vez más sofisticados, de forma que muchas veces pasan desapercibidos para el usuario que ha realizado la operación en el cajero sin mayor incidente.

Se trata de un proceso denominado skimming y ha perdido popularidad frente a los fraudes por internet, lo cual muchas veces favorece a los ladrones. Como cuenta la firma de seguridad Kaspersky, los que lo llevan a cabo se han especializado en el uso de miniaturas de hardware que, instaladas con discreción en los cajeros, tratan de leer la información de la banda magnética, obtener el código pin, clonar la tarjeta y extraer todo el dinero posible. Las cada vez más comunes tarjetas con chip son más seguras, pero no infranqueables.

Kits completos por 1.500 euros

Aunque este tipo de robos se lleva practicando décadas, los métodos se han sofisticado. Lo que antes eran lectores de tarjetas caseros y chapuceros que había que instalar y después recoger a mano con el riesgo de ser pillados hoy son dispositivos profesionales y procesos de envío de datos automatizados.

Como explica Vladislav Biryukov, analista de Kaspersky, el primer eslabón de la cadena son los vendedores de las piezas de hardware que utilizan los skimmers, que ponen a su disposición las mismas piezas que utilizan los propios cajeros, lo que dificulta su detección una vez instaladas. En muchos casos las compras se hacen online y los dispositivos son enviados por mensajería para evitar riesgos. Un kit completo con un lector de tarjetas, un panel para captar el código pin, los cables para cargarlos, el manual de instrucciones y el CD con el software se puede encontrar por unos 1.800 dólares (algo más de 1.500 euros).

Además de la sofisticación de los implantes que se acoplan a los cajeros, estos nuevos sistemas tienen la ventaja de no necesitar en la mayoría de los casos ser recogidos para extraer la información, sino que cuentan con una tarjeta SIM que la envía directamente a través de las redes móviles. De nuevo, más comodidad y menos riesgo para los estafadores.

Un teclado falso para conseguir el pin

En todo este proceso, conseguir el pin es el punto más difícil (aunque ya explicamos que puede hacerse fácilmente y sin riesgo utilizando un iPhone y 270 euros), ya que se necesita observar directamente al usuario mientras lo teclea. Los ladrones pueden utilizar dos métodos para hacerlo. Por un lado, es posible instalar una pequeña cámara oculta que tenga el teclado en su ángulo de visión. Para protegerse de esta posibilidad, lo más fácil y efectivo es simplemente cubrir con una mano lo que tecleamos con la otra. Esta opción también tiene otra desventaja, y es que tampoco es muy práctica para el envío y procesado de la información.

La otra opción es instalar un teclado falso sobre el auténtico del cajero (conectado para que el usuario reciba su dinero con normalidad y no sospeche), de forma que los usuarios tecleen sobre él directamente su pin. Aquí taparse con la mano no sirve de nada, y la información se envía de forma directa y sencilla al delincuente sin necesidad de procesarla. Claro que el riesgo de que el falso teclado sea detectado es mayor, aunque contando con las habituales prisas de un paso por el cajero, quizá un análisis atento del cajero no sea muy habitual.

Malware para vaciar cajeros

En octubre del 2014 saltaba una nueva alarma: un malware detectado en medio centenar de cajeros de Rusia, EEUU, Francia, China, India, Israel y Malasiahabía permitido el robo de millones de dólares. Bautizado como Tyupkin, el método de robo funcionaba en dos fases: primero era necesario acceder físicamente al cajero, que debe funcionar con un sistema basado en Windows de 32 bits, para instalar el programa y después reiniciar el sistema. Una vez cumplidos ambos pasos, el cajero quedaba bajo su control.

Para dificultar su detección, el software sólo se activaba durante unas horas en la noche del domingo al lunes, que era cuando los delincuentes aprovechaban para actuar. Además requería de un código diferente cada vez, generado por un algoritmo específico, para poder interactuar con él, de forma que ningún transeúnte pudiese activarlo casualmente.Una vez introducido el código correcto, el sistema muestra en pantalla el dinero disponible en cada compartimento, permitiendo sacar hasta 40 billetes del compartimento seleccionado.

"En los últimos años, hemos observado un repunte importante en los ataques a cajerosautomáticos utilizando dispositivos de skimming y software malicioso. Ahora estamos ante la evolución natural de esta amenaza, en la que los ciberdelincuentes atacan directamente a las entidades financieras mediante la infección de cajeros automáticos o de ataques directos al estilode APT en contra de los bancos", explica Vicente Díaz, analista de Kaspersky.

Reventando cajeros a bombazo limpio

No todos los métodos son igual de sofisticados o discretos. Según cuenta Nick Summers en Bloomberg, otra técnica de robo está ganando peso enEstados Unidos y Reino Unido, basado en hacer reventar los cajeros automáticosutilizando una mezcla de productos químicos perfectamente legales y sencillos de conseguir.

El método consiste en utilizar la ranura de expulsión de los billetes para introducir por ella dos tubos y llenar el interior del cajero de acetileno y oxígeno, dos sustancias que combinadas producen fuertes explosiones. Esto revienta el dispositivo y normalmente hace saltar la compuerta a través de la que se introduce el dinero. Una vez ha ocurrido la explosión, los delincuentes entran dentro de la sucursal bancaria para acceder a esa compuerta y recogerlo.

El método tiene sus riesgos, ya que el control de los elementos químicos debe ser extremo o la explosión causada puede destruir el propio botín. Si se hace con cuidado, en cambio, la onda expansiva puede dejar el dinero intacto, "a veces con un tufillo a ajo característico del acetileno", concluye Summers.

No confíes tus datos bancarios por teléfono ni los consignes en emails que recibas, aunque tengan la apariencia de provenir de tu banco. Paga siempre utilizando plataformas de pago seguras y activar siempre que sea posible los dos factores de verificación para hacer compras por internet. Todos estos consejos y algunos más son las precauciones básicas a tomar cuando compramos por internet para evitar que algún hacker se haga con la información de nuestra tarjeta y la adquisición termine convirtiéndose en un disgusto.

Seguridad Tarjetas de crédito
El redactor recomienda