[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/10\/skimming\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/10\/skimming\/","headline":"\u00bfQu\u00e9 es el skimming y c\u00f3mo protegerse de este fraude?","name":"\u00bfQu\u00e9 es el skimming y c\u00f3mo protegerse de este fraude?","description":"Descubre en qu\u00e9 consiste el skimming, c\u00f3mo funciona este fraude de tarjetas de cr\u00e9dito y c\u00f3mo protegerte de \u00e9l \u00a1M\u00e1s informaci\u00f3n aqu\u00ed!","datePublished":"2020-06-10","dateModified":"2020-06-10","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/06\/skimming.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/06\/skimming.jpg","height":1000,"width":1600},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/10\/skimming\/","about":["CIBERSEGURIDAD"],"wordCount":3132,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              El skimming es un delito que consiste en extraer los datos de la tarjeta de cr\u00e9dito en el punto de venta y usar esos datos para fabricar tarjetas de cr\u00e9dito falsas o comprar art\u00edculos utilizando los datos. Un empleado deshonesto usar\u00e1 un dispositivo electr\u00f3nico port\u00e1til, como un PDA conectado a un lector de tarjetas. Cuando nadie est\u00e1 mirando, las tarjetas de cr\u00e9dito de los clientes se deslizan para extraer sus datos.El robo de tarjetas de cr\u00e9dito es un crimen moderno perpetrado por delincuentes expertos en tecnolog\u00eda, pero cualquiera puede robar n\u00fameros de tarjetas de cr\u00e9dito, en cualquier lugar sin aparatos electr\u00f3nicos sofisticados.Cualquier empleado con acceso a tarjetas de cr\u00e9dito de clientes puede copiar la informaci\u00f3n con nada m\u00e1s que un bol\u00edgrafo y papel. Si eres due\u00f1o de un negocio y esto sucede con frecuencia, podr\u00edas ser etiquetado como un \u00abpunto d\u00e9bil\u00bb y enfrentar fuertes multas de las compa\u00f1\u00edas de tarjetas de cr\u00e9dito.La misi\u00f3n principal del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) es garantizar la seguridad de los datos de pago y la seguridad de la infraestructura de pago que procesa esos datos.PCI SSC se compromete a generar confianza en el proceso de pago y la infraestructura de pago para el beneficio de todos los consumidores. A medida que evolucionan las amenazas y vulnerabilidades del fraude, los componentes del pago pueden y deber\u00edan esperar la aparici\u00f3n de m\u00e1s est\u00e1ndares y requisitos de seguridad para los tipos de terminales, infraestructuras terminales, dispositivos de pago y procesos de pago.Aqu\u00ed te explico en qu\u00e9 consiste el skimming, c\u00f3mo funciona y c\u00f3mo podemos protegernos de estos ataques.\u00bfCual es el significado de skimming?TiposDatos de las tarjetas de pago del consumidorCaptura de datos de la infraestructura de pagoCaptura de datos con malware o software comprometidoCaptura de datos desde interfaces inal\u00e1mbricasCaptura de datos de NFC o lectores sin contactoCaptura de datos desde dispositivos m\u00f3vilesCaptura de datos de superposiciones\u00bfQu\u00e9 m\u00e9todos usan los delincuentes para robar datos de tarjetas de cr\u00e8dito? En cajeros electr\u00f3nicosC\u00e1mara estenopeicaTeclado de PIN falsoMalwareEspiar o distraer al usuarioEn TPV y dat\u00e1fonosSkimmers a distanciaSistemas anti-skimmingCodificaci\u00f3n de bandas magn\u00e9ticasBloqueo de cajeros autom\u00e1ticosSensores \u00f3pticos e infrarrojosEl e-Skimming o skimming en e-CommerceConsejos para protegerse del skimmingFunciones de tarjeta de cr\u00e9dito que te protegen contra el skimming\u00bfCual es el significado de skimming?Skimming es la captura y transferencia no autorizadas de datos de pago a otra fuente. Su finalidad es cometer fraude, la amenaza es grave y puede golpear el entorno de cualquier comerciante.Los ladrones pueden robar datos de pago directamente de la tarjeta de pago del consumidor o de la infraestructura de pago en unaubicaci\u00f3n del comerciante. Ambas t\u00e9cnicas suelen requerir el uso de un dispositivo f\u00edsico deshonesto instalado en el sitio.Los est\u00e1ndares de seguridad PCI actualmente contienen una serie de requisitos y recomendaciones para protegerse contra el skimming. Adem\u00e1s, el Consejo ha introducido un documento de resumen para comerciantes que contiene una profunda explicaci\u00f3nsobre el skimming, ejemplos, mejores pr\u00e1cticas y herramientas para frustrar su uso. Tambi\u00e9n\u00a0introduce \u00e1reas que requierencontramedidas para asegurar un nivel apropiado de seguridad para los datos del titular de la tarjeta.TiposEsta captura y transferencia no autorizada de datos de pago es diferente a las infracciones de compromiso masivo de datos, y puede ser el resultado de uno de los tipos de eventos enumerados a continuaci\u00f3n.Datos de las tarjetas de pago del consumidorEl primer tipo de skimming es la adquisici\u00f3n de datos de pago directamente del dispositivo de pago (tarjeta de pago) del consumidor. Esto normalmente se logra a trav\u00e9s de un lector de tarjeta peque\u00f1o y port\u00e1til y generalmente involucra personal comercial interno que tiene intenciones criminales y acceso al dispositivo de pago del consumidor.La mayor\u00eda de los ataques de skimming se ocupan de la captura de datos de pago de tarjetas de pago con banda magn\u00e9tica fuera del terminal de pago cuando la tarjeta de pago es manejada por el personal comercial y cuando el consumidor tiene poco o ning\u00fancontrol en el momento del pago.Captura de datos de la infraestructura de pagoEl segundo tipo de skimming resulta de la captura de datos de pago dentro de la infraestructura de pago en la ubicaci\u00f3n del comerciante, con un enfoque en terminales de punto de venta comprometidos y sus infraestructuras respectivas (ubicaciones de terminales, cables, canales de comunicaci\u00f3n, interruptores, etc.).Los delincuentes insertar\u00e1n equipos electr\u00f3nicos, por diversos medios, en el terminal o en la infraestructura, para capturar datos de la cuenta del consumidor. El equipo de skimming puede ser muy sofisticado, peque\u00f1o y dif\u00edcil de identificar. A menudo est\u00e1 oculto dentro del terminal, por lo que ni el comerciante ni el titular de la tarjeta saben que el terminal ha sido comprometido.Captura de datos con malware o software comprometidoOtro tipo resulta de la captura de datos de pago con software malicioso. En este ataque, el software mal codificado permite el uso de malware o c\u00f3digo malicioso cargado en el dispositivo. Este c\u00f3digo puede interceptar y capturar informaci\u00f3n de la tarjeta de pago, as\u00ed como informaci\u00f3n del PIN. La informaci\u00f3n luego se env\u00eda a otra ubicaci\u00f3n para la recuperaci\u00f3n.Este tipo de actividad se ve en gran medida en dispositivos que proporcionan funciones aparte del procesamiento de pagos. Estos incluyen cajeros autom\u00e1ticos, PC que tienen acceso a los datos de la tarjeta, cajas registradoras electr\u00f3nicas (ECR), sistemas POS basados en computadora, dispositivos m\u00f3viles, y m\u00e1s recientemente, terminales comprometidas.Captura de datos desde interfaces inal\u00e1mbricasEl skimming puede ocurrir por la intercepci\u00f3n de datos de pago a trav\u00e9s de una infraestructura inal\u00e1mbrica.Las tecnolog\u00edas de red inal\u00e1mbricas como Bluetooth y Wi-Fi permiten transmitir informaci\u00f3n a trav\u00e9s de las ondas p\u00fablicas entre dispositivos. Pobres t\u00e9cnicas de emparejamiento Bluetooth, falta de cifrado, as\u00ed como las implementaciones de Wi-Fi compartidas o inadecuadamente aseguradas pueden permitir que los datos sean interceptados y la red de datos se ver\u00e1 comprometida.Captura de datos de NFC o lectores sin contactoAl igual que con los datos de las tarjetas de consumidor, el uso de NFC (comunicaci\u00f3n de campo cercano) o lectores sin contactopuede dar lugar a la eliminaci\u00f3n de la informaci\u00f3n de pago. Los datos NFC se env\u00edan cerca de un lector NFC a trav\u00e9s de las ondas.Esta informaci\u00f3n puede ser interceptada si otro lector, como un dispositivo m\u00f3vil capaz o un lector sin contacto, se coloca cerca del dispositivo de aceptaci\u00f3n de pago. Adem\u00e1s, algunos lectores NFC se agregan como una actualizaci\u00f3n del mercado de accesorios yes posible que no haya sido probado con el terminal o dispositivo POS.Captura de datos desde dispositivos m\u00f3vilesEn este tipo de ataque, se conecta un lector de tarjetas modificado (skimmer) a la toma de auriculares del tel\u00e9fono inteligente o tableta del criminal. El tel\u00e9fono inteligente muestra un mensaje falso para que el consumidor ingrese su PIN directamente en el tel\u00e9fono inteligente, capturando as\u00ed los datos de la cuenta de la tarjeta y el PIN asociado. Los PIN solo deben ingresarse en dispositivos aprobados por PCI PTS.Captura de datos de superposicionesLos ataques de superposici\u00f3n se han utilizado tradicionalmente en cajeros autom\u00e1ticos u otros dispositivos desatendidos para capturar tarjetas y datos PIN. En estos tipos de ataques, una superposici\u00f3n que contiene cables o un lector de tarjetas adicional se coloca en el cajero autom\u00e1tico o en el terminal del punto de venta. Se puede agregar una superposici\u00f3n de adhesivos al \u00e1rea del teclado para capturar el PIN, o, con una impresora 3D, se puede colocar una nueva carcasa sobre el dispositivo existente.Estas superposiciones pueden ocultar evidencia de manipulaci\u00f3n, agregar un lector adicional y cambiar ligeramente la operaci\u00f3ndel terminal.\u00bfQu\u00e9 m\u00e9todos usan los delincuentes para robar datos de tarjetas de cr\u00e8dito?Existen diversos m\u00e9todos usados por los delincuentes para robar datos de tarjetas de cr\u00e9dito que vamos a ver a continuaci\u00f3n. En cajeros electr\u00f3nicosA trav\u00e9s de este m\u00e9todo, los delincuentes roban los datos de las bandas magn\u00e9ticas de las tarjetas de cr\u00e9dito mientras estas se est\u00e1n usando en un cajero autom\u00e1tico y el PIN de los clientes.Una vez que tienen esos datos y PINes de las tarjetas, clonan las mismas y las distribuyen a grupos organizados para sacar dinero de los titulares de esas tarjetas.Para ello es necesario un dispositivo llamado skimmer que es usado para guardar datos. Se utiliza para robar los datos codificados en las bandas magn\u00e9ticas de las tarjetas. Son colocados en la abertura del lector de tarjetas del cajero autom\u00e1tico, simulando que forman parte de ese cajero autom\u00e1tico.Tambi\u00e9n se necesitan dispositivos para capturar el PIN de la tarjeta. Esos dispositivos pueden ser:C\u00e1mara estenopeicaEste m\u00e9todo es el m\u00e1s usado y el m\u00e1s sofisticado. Se instala una c\u00e1mara estenopeica cerca del cajero que graba a la v\u00edctima mientra introduce su PIN. Esa imagen de v\u00eddeo se transmite a un dispositivo receptor o se guarda.Teclado de PIN falsoEn este caso, el delincuente se hace pasar por un t\u00e9cnico y modifica el teclado de PIN con un dispositivo que permite capturar el PIN introducido por las v\u00edctimas.MalwareEl malware es muy utilizado en la actualidad en los ataques para robar datos de tarjetas en cajeros autom\u00e1ticos. El atacante introduce el malware una vez que ha comprometido la seguridad del cajero autom\u00e1tico f\u00edsico o del software que hace funcionar la m\u00e1quina.Algunos tipos de malware que espec\u00edficamente se usan en los cajeros autom\u00e1ticos no solamente son capaces de capturar los datos del usuario, tambi\u00e9n le dan al atacante la habilidad de difundir efectivo y elegir la denominaci\u00f3n de billetes que desean dispensar.Espiar o distraer al usuarioOtra forma de obtener el PIN de la tarjeta de cr\u00e9dito es espiar al usuario mientra lo introduce o distraerlo con alg\u00fan tipo de situaci\u00f3n y usar un dispositivo de mano para obtener el PIN mientras est\u00e1 distra\u00eddo.En TPV y dat\u00e1fonosOtro dispositivo afectado por esta t\u00e9cnica de fraude es el dat\u00e1fono o TPV, utilizados en supermercados, gasolineras, peajes, etc. Debido a que estos elementos tambi\u00e9n permiten la lectura de la banda magn\u00e9tica y la digitaci\u00f3n del PIN, son usados por los delincuentes para la instalaci\u00f3n de skimmers. Estos skimmers normalmente se encajan en la carcasa externa que cubre toda la superficie del dat\u00e1fono y se camuflan para capturar los datos de la tarjeta cuando el que el usuario la desliza.Skimmers a distanciaLos skimmers no necesariamente deben estar colocados en cajeros electr\u00f3nicos y en TPV. Tambi\u00e9n pueden ser port\u00e1tiles. En este caso, necesitan que el delincuente tenga acceso de alguna forma a la tarjeta y la deslice por el skimmer para leer la banda magn\u00e9tica, la cual es almacenada en el propio dispositivo para posteriormente ser descargada en un ordenador.Sistemas anti-skimmingEstos sistemas se usan para luchar contra los fraudes de tarjetas de cr\u00e9dito realizados en cajeros autom\u00e1ticos o dat\u00e1fonos. Muchos de esos sistemas est\u00e1n creados por los propios fabricantes de los cajeros autom\u00e1ticos.Codificaci\u00f3n de bandas magn\u00e9ticasA trav\u00e9s de este sistema se cifra la informaci\u00f3n contenida en la banda magn\u00e9tica de la tarjeta para impedir que los delincuentes puedan acceder a la informaci\u00f3n que contiene la tarjeta y clonarla.Bloqueo de cajeros autom\u00e1ticosEstos sistemas detectan la existencia de un dispositivo en la entrada de tarjetas del cajero autom\u00e1tico y lo bloquean para impedir que el usuario pueda introducir su tarjeta.Sensores \u00f3pticos e infrarrojosSe trata de sistemas electr\u00f3nicos anti skimming que disponen de sensores \u00f3pticos e infrarrojos con la funci\u00f3n de bloquear el lector de tarjetas en caso de que se detecte que existe cerca alg\u00fan dispositivo fraudulento.El e-Skimming o skimming en e-CommerceInternet toca casi todos los aspectos de nuestra vida diaria. Podemos comprar, realizar operaciones bancarias, conectarnos con familiares y amigos y manejar nuestros registros m\u00e9dicos en l\u00ednea. Estas actividades requieren que proporciones informaci\u00f3n de identificaci\u00f3n personal como tu nombre, fecha de nacimiento, n\u00fameros de cuenta, contrase\u00f1as e informaci\u00f3n de ubicaci\u00f3n. Aqu\u00ed surge tambi\u00e9n el skimming.Los ciberdelincuentes introducen el c\u00f3digo malicioso en las p\u00e1ginas web de procesamiento de tarjetas de pago de comercio electr\u00f3nico para capturar informaci\u00f3n de tarjetas de cr\u00e9dito e identificaci\u00f3n personal y enviar los datos robados a un dominio bajo su control.El skimming se introduce en los sitios web de procesamiento de tarjetas de pago mediante:Explotaci\u00f3n de una vulnerabilidad en la plataforma de comercio electr\u00f3nico del sitio web.Obtenci\u00f3n de acceso a la red de la v\u00edctima a trav\u00e9s de un correo electr\u00f3nico de phishing o una fuerza bruta de credenciales administrativas.Comprometiendo a las entidades de terceros y las cadenas de suministro al ocultar el c\u00f3digo de eliminaci\u00f3n en el JavaScript cargado por el servicio de terceros en el sitio web de la v\u00edctima.Secuencias de comandos entre sitios que redirigen a los clientes a un dominio malicioso donde el c\u00f3digo JavaScript malicioso captura su informaci\u00f3n de la p\u00e1gina de pago.El c\u00f3digo malicioso captura los datos de la tarjeta de cr\u00e9dito cuando el usuario final lo ingresa en tiempo real. La informaci\u00f3n luego se env\u00eda a un servidor conectado a Internet utilizando un nombre de dominio controlado por el actor. Posteriormente, la informaci\u00f3n recopilada de la tarjeta de cr\u00e9dito se vende o se utiliza para realizar compras fraudulentas.Consejos para protegerse del skimmingAqu\u00ed tienes algunos consejos para protegerte del robo de tarjetas de cr\u00e9dito:Mant\u00e9n tu tarjeta a la vista. Si est\u00e1s en una tienda o restaurante, aseg\u00farate de mantener tu tarjeta a la vista en todo momento para que sepas que solo se usa en una m\u00e1quina.Nunca compartas tu PIN. No le digas a nadie tu PIN, no lo anotes y definitivamente no guardes una copia en tu billetera junto con tu tarjeta.S\u00e9 discreto con tu PIN. Por insignificante que parezca, cubrir el teclado al introducir tu PIN podr\u00eda ayudar a evitar que alguien te robe.Busca signos de alteraci\u00f3n. Antes de usar un cajero autom\u00e1tico, siempre verifica si hay caracter\u00edsticas sospechosas. Tambi\u00e9n intenta mover partes de la m\u00e1quina, porque las m\u00e1quinas ATM leg\u00edtimas son construcciones s\u00f3lidas que generalmente no tienen partes sueltas o m\u00f3viles.Evita los cajeros autom\u00e1ticos al aire libre. Generalmente, es m\u00e1s seguro un cajero autom\u00e1tico dentro del centro comercial que uno que est\u00e9 solitario en la calle, en el primero su manipulaci\u00f3n es m\u00e1s dif\u00edcil.Verifica el extracto de tu tarjeta de cr\u00e9dito. Verificar el extracto de la tarjeta de cr\u00e9dito es un buen h\u00e1bito, y ahora es m\u00e1s f\u00e1cil hacerlo regularmente gracias a la banca en l\u00ednea. Hacer esto es importante porque puede identificar transacciones fraudulentas tan pronto como sucedan, y tu cuenta puede congelarse para evitar m\u00e1s robos.Reporta actividad sospechosa. Llama inmediatamente a tu banco, al proveedor de cajeros autom\u00e1ticos y a las autoridades locales si sospechas que tu cuenta se ha visto comprometida.Notifica a tu banco cuando vayas al extranjero. Informar a tu banco d\u00f3nde te encuentras ayudar\u00e1 a identificar las transacciones leg\u00edtimas que realices cuando est\u00e9s en el extranjero. De manera similar, puede ayudar a detectar actividades sospechosas y les permite contactarte si desean verificar una transacci\u00f3n. Si te vas a ir por un largo per\u00edodo de tiempo, tambi\u00e9n es aconsejable informarles que no planeas usar la tarjeta por un tiempo.Funciones de tarjeta de cr\u00e9dito que te protegen contra el skimmingCiertas funciones predeterminadas ya ayudan a proteger tu cuenta contra el fraude:Tecnolog\u00eda de chip y PIN. Requerir un chip y un PIN para autorizar transacciones en tu tarjeta hace que sea doblemente dif\u00edcil para los estafadores. El microchip incorporado contiene detalles encriptados sobre la tarjeta que hacen que sea m\u00e1s dif\u00edcil para los delincuentes con skimmers obtener su informaci\u00f3n. El PIN sirve tambi\u00e9n para verificar las transacciones en persona lo que complica a los delincuentes el uso de tu tarjeta para compras fraudulentas. Sin embargo, no siempre se requiere ingresar un PIN, por lo que tambi\u00e9n debes verificar el extracto de tu tarjeta de cr\u00e9dito.Servicios de monitorizaci\u00f3n de fraude. La mayor\u00eda de los proveedores de tarjetas de cr\u00e9dito han establecido sistemas de seguridad y equipos internos de monitorizaci\u00f3n de fraude que pueden detectar r\u00e1pidamente la actividad inusual de la tarjeta. Es entonces cuando puedes recibir una llamada telef\u00f3nica de ellos pregunt\u00e1ndote si una transacci\u00f3n reciente fue realmente tuya.Cero responsabilidad. La responsabilidad cero es una forma de protecci\u00f3n al consumidor que todos los proveedores de tarjetas de cr\u00e9dito est\u00e1n obligados a brindarle. Esto significa que no ser\u00e1s responsable de las actividades fraudulentas que aparezcan en tu cuenta. Sin embargo, hay ciertas condiciones y excepciones a esto que debes tener en cuenta: est\u00e1s obligado a informar cualquier actividad fraudulenta tan pronto como lo notes, y tambi\u00e9n debes tener un cuidado razonable para proteger tu tarjeta contra p\u00e9rdida o robo.Finalmente, aunque estas caracter\u00edsticas predeterminadas de la tarjeta de cr\u00e9dito pueden ser un verdadero salvavidas cuando se trata de fraude y robo de tarjetas, hacer tu parte y mantenerte alerta te ahorrar\u00e1 m\u00e1s problemas. Estate atento a actividades sospechosas y siempre informa de inmediato porque definitivamente es mejor prevenir que curar."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/06\/10\/skimming\/#breadcrumbitem","name":"\u00bfQu\u00e9 es el skimming y c\u00f3mo protegerse de este fraude?"}}]}]