El skimming es un delito que consiste en extraer los datos de la tarjeta de crédito en el punto de venta y usar esos datos para fabricar tarjetas de crédito falsas o comprar artículos utilizando los datos. Un empleado deshonesto usará un dispositivo electrónico portátil, como un PDA conectado a un lector de tarjetas. Cuando nadie está mirando, las tarjetas de crédito de los clientes se deslizan para extraer sus datos.
El robo de tarjetas de crédito es un crimen moderno perpetrado por delincuentes expertos en tecnología, pero cualquiera puede robar números de tarjetas de crédito, en cualquier lugar sin aparatos electrónicos sofisticados.
Cualquier empleado con acceso a tarjetas de crédito de clientes puede copiar la información con nada más que un bolígrafo y papel. Si eres dueño de un negocio y esto sucede con frecuencia, podrías ser etiquetado como un «punto débil» y enfrentar fuertes multas de las compañías de tarjetas de crédito.
La misión principal del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) es garantizar la seguridad de los datos de pago y la seguridad de la infraestructura de pago que procesa esos datos.
PCI SSC se compromete a generar confianza en el proceso de pago y la infraestructura de pago para el beneficio de todos los consumidores. A medida que evolucionan las amenazas y vulnerabilidades del fraude, los componentes del pago pueden y deberían esperar la aparición de más estándares y requisitos de seguridad para los tipos de terminales, infraestructuras terminales, dispositivos de pago y procesos de pago.
Aquí te explico en qué consiste el skimming, cómo funciona y cómo podemos protegernos de estos ataques.
¿Cual es el significado de skimming?
Skimming es la captura y transferencia no autorizadas de datos de pago a otra fuente. Su finalidad es cometer fraude, la amenaza es grave y puede golpear el entorno de cualquier comerciante.
Los ladrones pueden robar datos de pago directamente de la tarjeta de pago del consumidor o de la infraestructura de pago en una
ubicación del comerciante. Ambas técnicas suelen requerir el uso de un dispositivo físico deshonesto instalado en el sitio.
Los estándares de seguridad PCI actualmente contienen una serie de requisitos y recomendaciones para protegerse contra el skimming. Además, el Consejo ha introducido un documento de resumen para comerciantes que contiene una profunda explicación
sobre el skimming, ejemplos, mejores prácticas y herramientas para frustrar su uso. También introduce áreas que requieren
contramedidas para asegurar un nivel apropiado de seguridad para los datos del titular de la tarjeta.
Tipos
Esta captura y transferencia no autorizada de datos de pago es diferente a las infracciones de compromiso masivo de datos, y puede ser el resultado de uno de los tipos de eventos enumerados a continuación.
Datos de las tarjetas de pago del consumidor
El primer tipo de skimming es la adquisición de datos de pago directamente del dispositivo de pago (tarjeta de pago) del consumidor. Esto normalmente se logra a través de un lector de tarjeta pequeño y portátil y generalmente involucra personal comercial interno que tiene intenciones criminales y acceso al dispositivo de pago del consumidor.
La mayoría de los ataques de skimming se ocupan de la captura de datos de pago de tarjetas de pago con banda magnética fuera del terminal de pago cuando la tarjeta de pago es manejada por el personal comercial y cuando el consumidor tiene poco o ningún
control en el momento del pago.
Captura de datos de la infraestructura de pago
El segundo tipo de skimming resulta de la captura de datos de pago dentro de la infraestructura de pago en la ubicación del comerciante, con un enfoque en terminales de punto de venta comprometidos y sus infraestructuras respectivas (ubicaciones de terminales, cables, canales de comunicación, interruptores, etc.).
Los delincuentes insertarán equipos electrónicos, por diversos medios, en el terminal o en la infraestructura, para capturar datos de la cuenta del consumidor. El equipo de skimming puede ser muy sofisticado, pequeño y difícil de identificar. A menudo está oculto dentro del terminal, por lo que ni el comerciante ni el titular de la tarjeta saben que el terminal ha sido comprometido.
Captura de datos con malware o software comprometido
Otro tipo resulta de la captura de datos de pago con software malicioso. En este ataque, el software mal codificado permite el uso de malware o código malicioso cargado en el dispositivo. Este código puede interceptar y capturar información de la tarjeta de pago, así como información del PIN. La información luego se envía a otra ubicación para la recuperación.
Este tipo de actividad se ve en gran medida en dispositivos que proporcionan funciones aparte del procesamiento de pagos. Estos incluyen cajeros automáticos, PC que tienen acceso a los datos de la tarjeta, cajas registradoras electrónicas (ECR), sistemas POS basados en computadora, dispositivos móviles, y más recientemente, terminales comprometidas.
Captura de datos desde interfaces inalámbricas
El skimming puede ocurrir por la intercepción de datos de pago a través de una infraestructura inalámbrica.
Las tecnologías de red inalámbricas como Bluetooth y Wi-Fi permiten transmitir información a través de las ondas públicas entre dispositivos. Pobres técnicas de emparejamiento Bluetooth, falta de cifrado, así como las implementaciones de Wi-Fi compartidas o inadecuadamente aseguradas pueden permitir que los datos sean interceptados y la red de datos se verá comprometida.
Captura de datos de NFC o lectores sin contacto
Al igual que con los datos de las tarjetas de consumidor, el uso de NFC (comunicación de campo cercano) o lectores sin contacto
puede dar lugar a la eliminación de la información de pago. Los datos NFC se envían cerca de un lector NFC a través de las ondas.
Esta información puede ser interceptada si otro lector, como un dispositivo móvil capaz o un lector sin contacto, se coloca cerca del dispositivo de aceptación de pago. Además, algunos lectores NFC se agregan como una actualización del mercado de accesorios y
es posible que no haya sido probado con el terminal o dispositivo POS.
Captura de datos desde dispositivos móviles
En este tipo de ataque, se conecta un lector de tarjetas modificado (skimmer) a la toma de auriculares del teléfono inteligente o tableta del criminal. El teléfono inteligente muestra un mensaje falso para que el consumidor ingrese su PIN directamente en el teléfono inteligente, capturando así los datos de la cuenta de la tarjeta y el PIN asociado. Los PIN solo deben ingresarse en dispositivos aprobados por PCI PTS.
Captura de datos de superposiciones
Los ataques de superposición se han utilizado tradicionalmente en cajeros automáticos u otros dispositivos desatendidos para capturar tarjetas y datos PIN. En estos tipos de ataques, una superposición que contiene cables o un lector de tarjetas adicional se coloca en el cajero automático o en el terminal del punto de venta. Se puede agregar una superposición de adhesivos al área del teclado para capturar el PIN, o, con una impresora 3D, se puede colocar una nueva carcasa sobre el dispositivo existente.
Estas superposiciones pueden ocultar evidencia de manipulación, agregar un lector adicional y cambiar ligeramente la operación
del terminal.
¿Qué métodos usan los delincuentes para robar datos de tarjetas de crèdito?
Existen diversos métodos usados por los delincuentes para robar datos de tarjetas de crédito que vamos a ver a continuación.
En cajeros electrónicos
A través de este método, los delincuentes roban los datos de las bandas magnéticas de las tarjetas de crédito mientras estas se están usando en un cajero automático y el PIN de los clientes.
Una vez que tienen esos datos y PINes de las tarjetas, clonan las mismas y las distribuyen a grupos organizados para sacar dinero de los titulares de esas tarjetas.
Para ello es necesario un dispositivo llamado skimmer que es usado para guardar datos. Se utiliza para robar los datos codificados en las bandas magnéticas de las tarjetas. Son colocados en la abertura del lector de tarjetas del cajero automático, simulando que forman parte de ese cajero automático.
También se necesitan dispositivos para capturar el PIN de la tarjeta. Esos dispositivos pueden ser:
Cámara estenopeica
Este método es el más usado y el más sofisticado. Se instala una cámara estenopeica cerca del cajero que graba a la víctima mientra introduce su PIN. Esa imagen de vídeo se transmite a un dispositivo receptor o se guarda.
Teclado de PIN falso
En este caso, el delincuente se hace pasar por un técnico y modifica el teclado de PIN con un dispositivo que permite capturar el PIN introducido por las víctimas.
Malware
El malware es muy utilizado en la actualidad en los ataques para robar datos de tarjetas en cajeros automáticos. El atacante introduce el malware una vez que ha comprometido la seguridad del cajero automático físico o del software que hace funcionar la máquina.
Algunos tipos de malware que específicamente se usan en los cajeros automáticos no solamente son capaces de capturar los datos del usuario, también le dan al atacante la habilidad de difundir efectivo y elegir la denominación de billetes que desean dispensar.
Espiar o distraer al usuario
Otra forma de obtener el PIN de la tarjeta de crédito es espiar al usuario mientra lo introduce o distraerlo con algún tipo de situación y usar un dispositivo de mano para obtener el PIN mientras está distraído.
En TPV y datáfonos
Otro dispositivo afectado por esta técnica de fraude es el datáfono o TPV, utilizados en supermercados, gasolineras, peajes, etc. Debido a que estos elementos también permiten la lectura de la banda magnética y la digitación del PIN, son usados por los delincuentes para la instalación de skimmers. Estos skimmers normalmente se encajan en la carcasa externa que cubre toda la superficie del datáfono y se camuflan para capturar los datos de la tarjeta cuando el que el usuario la desliza.
Skimmers a distancia
Los skimmers no necesariamente deben estar colocados en cajeros electrónicos y en TPV. También pueden ser portátiles. En este caso, necesitan que el delincuente tenga acceso de alguna forma a la tarjeta y la deslice por el skimmer para leer la banda magnética, la cual es almacenada en el propio dispositivo para posteriormente ser descargada en un ordenador.
Sistemas anti-skimming
Estos sistemas se usan para luchar contra los fraudes de tarjetas de crédito realizados en cajeros automáticos o datáfonos. Muchos de esos sistemas están creados por los propios fabricantes de los cajeros automáticos.
Codificación de bandas magnéticas
A través de este sistema se cifra la información contenida en la banda magnética de la tarjeta para impedir que los delincuentes puedan acceder a la información que contiene la tarjeta y clonarla.
Bloqueo de cajeros automáticos
Estos sistemas detectan la existencia de un dispositivo en la entrada de tarjetas del cajero automático y lo bloquean para impedir que el usuario pueda introducir su tarjeta.
Sensores ópticos e infrarrojos
Se trata de sistemas electrónicos anti skimming que disponen de sensores ópticos e infrarrojos con la función de bloquear el lector de tarjetas en caso de que se detecte que existe cerca algún dispositivo fraudulento.
El e-Skimming o skimming en e-Commerce
Internet toca casi todos los aspectos de nuestra vida diaria. Podemos comprar, realizar operaciones bancarias, conectarnos con familiares y amigos y manejar nuestros registros médicos en línea. Estas actividades requieren que proporciones información de identificación personal como tu nombre, fecha de nacimiento, números de cuenta, contraseñas e información de ubicación. Aquí surge también el skimming.
Los ciberdelincuentes introducen el código malicioso en las páginas web de procesamiento de tarjetas de pago de comercio electrónico para capturar información de tarjetas de crédito e identificación personal y enviar los datos robados a un dominio bajo su control.
El skimming se introduce en los sitios web de procesamiento de tarjetas de pago mediante:
- Explotación de una vulnerabilidad en la plataforma de comercio electrónico del sitio web.
- Obtención de acceso a la red de la víctima a través de un correo electrónico de phishing o una fuerza bruta de credenciales administrativas.
- Comprometiendo a las entidades de terceros y las cadenas de suministro al ocultar el código de eliminación en el JavaScript cargado por el servicio de terceros en el sitio web de la víctima.
- Secuencias de comandos entre sitios que redirigen a los clientes a un dominio malicioso donde el código JavaScript malicioso captura su información de la página de pago.
El código malicioso captura los datos de la tarjeta de crédito cuando el usuario final lo ingresa en tiempo real. La información luego se envía a un servidor conectado a Internet utilizando un nombre de dominio controlado por el actor. Posteriormente, la información recopilada de la tarjeta de crédito se vende o se utiliza para realizar compras fraudulentas.
Consejos para protegerse del skimming
Aquí tienes algunos consejos para protegerte del robo de tarjetas de crédito:
- Mantén tu tarjeta a la vista. Si estás en una tienda o restaurante, asegúrate de mantener tu tarjeta a la vista en todo momento para que sepas que solo se usa en una máquina.
- Nunca compartas tu PIN. No le digas a nadie tu PIN, no lo anotes y definitivamente no guardes una copia en tu billetera junto con tu tarjeta.
- Sé discreto con tu PIN. Por insignificante que parezca, cubrir el teclado al introducir tu PIN podría ayudar a evitar que alguien te robe.
- Busca signos de alteración. Antes de usar un cajero automático, siempre verifica si hay características sospechosas. También intenta mover partes de la máquina, porque las máquinas ATM legítimas son construcciones sólidas que generalmente no tienen partes sueltas o móviles.
- Evita los cajeros automáticos al aire libre. Generalmente, es más seguro un cajero automático dentro del centro comercial que uno que esté solitario en la calle, en el primero su manipulación es más difícil.
- Verifica el extracto de tu tarjeta de crédito. Verificar el extracto de la tarjeta de crédito es un buen hábito, y ahora es más fácil hacerlo regularmente gracias a la banca en línea. Hacer esto es importante porque puede identificar transacciones fraudulentas tan pronto como sucedan, y tu cuenta puede congelarse para evitar más robos.
- Reporta actividad sospechosa. Llama inmediatamente a tu banco, al proveedor de cajeros automáticos y a las autoridades locales si sospechas que tu cuenta se ha visto comprometida.
- Notifica a tu banco cuando vayas al extranjero. Informar a tu banco dónde te encuentras ayudará a identificar las transacciones legítimas que realices cuando estés en el extranjero. De manera similar, puede ayudar a detectar actividades sospechosas y les permite contactarte si desean verificar una transacción. Si te vas a ir por un largo período de tiempo, también es aconsejable informarles que no planeas usar la tarjeta por un tiempo.
Funciones de tarjeta de crédito que te protegen contra el skimming
Ciertas funciones predeterminadas ya ayudan a proteger tu cuenta contra el fraude:
- Tecnología de chip y PIN. Requerir un chip y un PIN para autorizar transacciones en tu tarjeta hace que sea doblemente difícil para los estafadores. El microchip incorporado contiene detalles encriptados sobre la tarjeta que hacen que sea más difícil para los delincuentes con skimmers obtener su información. El PIN sirve también para verificar las transacciones en persona lo que complica a los delincuentes el uso de tu tarjeta para compras fraudulentas. Sin embargo, no siempre se requiere ingresar un PIN, por lo que también debes verificar el extracto de tu tarjeta de crédito.
- Servicios de monitorización de fraude. La mayoría de los proveedores de tarjetas de crédito han establecido sistemas de seguridad y equipos internos de monitorización de fraude que pueden detectar rápidamente la actividad inusual de la tarjeta. Es entonces cuando puedes recibir una llamada telefónica de ellos preguntándote si una transacción reciente fue realmente tuya.
- Cero responsabilidad. La responsabilidad cero es una forma de protección al consumidor que todos los proveedores de tarjetas de crédito están obligados a brindarle. Esto significa que no serás responsable de las actividades fraudulentas que aparezcan en tu cuenta. Sin embargo, hay ciertas condiciones y excepciones a esto que debes tener en cuenta: estás obligado a informar cualquier actividad fraudulenta tan pronto como lo notes, y también debes tener un cuidado razonable para proteger tu tarjeta contra pérdida o robo.
Finalmente, aunque estas características predeterminadas de la tarjeta de crédito pueden ser un verdadero salvavidas cuando se trata de fraude y robo de tarjetas, hacer tu parte y mantenerte alerta te ahorrará más problemas. Estate atento a actividades sospechosas y siempre informa de inmediato porque definitivamente es mejor prevenir que curar.