Recuerdo perfectamente el momento en que me di cuenta de lo lamentablemente inseguras que son las tarjetas de crédito y débito. Vi cómo alguien cogía un lector de banda magnética USB de los que se venden en el mercado y lo conectaba a un ordenador, que lo reconocía como un teclado. Abrieron un procesador de textos y pasaron la tarjeta. Una serie de números aparecieron obedientemente en el archivo de texto. Eso era todo: La información de la tarjeta había sido robada.
Esa misma tecnología ha madurado y se ha miniaturizado. En los cajeros automáticos y en los terminales de pago se pueden instalar diminutos «skimmers» que extraen los datos de la banda magnética de la tarjeta (llamada «magstripe»). En los lectores de tarjetas se instalan «skimmers» aún más pequeños para atacar los chips de las tarjetas más recientes. Ahora también existe una versión digital llamada e-skimming que hurta los datos de los sitios web de pago. Afortunadamente, hay muchas maneras de protegerse de estos ataques.
¿Qué son los skimmers?
Los skimmers son pequeños lectores de tarjetas maliciosos escondidos dentro de los lectores de tarjetas legítimos que recogen los datos de cada persona que pasa sus tarjetas. Después de dejar que el hardware sorba los datos durante algún tiempo, un ladrón se pasará por la máquina comprometida para recoger el archivo que contiene todos los datos robados. Con esa información, puede crear tarjetas clonadas o simplemente cometer un fraude. Tal vez lo más aterrador es que los skimmers no suelen impedir que el cajero automático o el lector de tarjetas de crédito funcionen correctamente, lo que hace más difícil detectarlos.
Entrar en los cajeros automáticos es difícil, por lo que los skimmers para cajeros automáticos a veces encajan sobre los lectores de tarjetas existentes. La mayoría de las veces, los atacantes también colocan una cámara oculta en algún lugar de los alrededores para grabar los números de identificación personal, o PIN, utilizados para acceder a las cuentas. La cámara puede estar en el lector de tarjetas, montada en la parte superior del cajero automático o incluso en el techo. Algunos delincuentes llegan a instalar teclados PIN falsos sobre los teclados reales para capturar el PIN directamente, obviando la necesidad de una cámara.
Esta imagen es un skimmer real en uso en un cajero automático. ¿Ves esa parte amarilla extraña y voluminosa? Es el skimmer. Este es fácil de detectar porque tiene un color y un material diferente al del resto de la máquina, pero hay otros signos reveladores. Debajo de la ranura donde se introduce la tarjeta hay flechas en relieve en la carcasa de plástico de la máquina. Puede ver cómo las flechas grises están muy cerca de la carcasa amarilla del lector, casi superpuestas. Eso es una señal de que se ha instalado un skimmer sobre el lector existente, ya que el lector de tarjetas real tendría algo de espacio entre la ranura de la tarjeta y las flechas.
Los fabricantes de cajeros automáticos no se han tomado a broma este tipo de fraude. Los cajeros automáticos más recientes cuentan con sólidas defensas contra la manipulación, que a veces incluyen sistemas de radar destinados a detectar objetos insertados o adheridos al cajero. Sin embargo, un investigador en la conferencia de seguridad Black Hat fue capaz de utilizar el dispositivo de radar de un cajero automático para capturar los PIN como parte de una elaborada estafa.
¿Los skimmers siguen siendo una amenaza?
Mientras investigábamos una actualización de este artículo, nos pusimos en contacto con Kaspersky Labs, y los representantes de la compañía nos dijeron algo sorprendente: los ataques de skimming estaban disminuyendo. «El skimming era y sigue siendo algo raro», dijo el portavoz de Kaspersky.
El representante de Kaspersky citó las estadísticas de la UE de la Asociación Europea de Transacciones Seguras (EAST) como indicativo de una tendencia mayor. La EAST informó de un mínimo histórico de ataques de skimmer, pasando de 1.496 incidentes en abril de 2020 a 321 incidentes en octubre del mismo año. Los efectos de COVID-19 podrían tener algo que ver con ese descenso, pero no deja de ser dramático.
Eso no significa que el skimming haya desaparecido, por supuesto. En enero de 2021 se descubrió una importante estafa de skimming en Nueva Jersey. Se trataba de ataques a más de 1.000 clientes del banco, en los que los delincuentes intentaron hacerse con más de 1,5 millones de dólares.
De los skimmers a los shimmers
Cuando los bancos estadounidenses se pusieron por fin al día con el resto del mundo y empezaron a emitir tarjetas con chip, supuso una gran ayuda para la seguridad de los consumidores. Estas tarjetas con chip, o tarjetas EMV, ofrecen una seguridad más robusta que las dolorosamente simples bandas magnéticas de las antiguas tarjetas de pago. Pero los ladrones aprenden rápido, y han tenido años para perfeccionar los ataques en Europa y Canadá dirigidos a las tarjetas con chip.
En lugar de los skimmers, que se sitúan encima de los lectores de banda magnética, los shimmers están dentro de los lectores de tarjetas. Son dispositivos muy, muy finos y no se ven desde el exterior. Cuando se introduce la tarjeta, el shimmer lee los datos del chip de la tarjeta, del mismo modo que un skimmer lee los datos de la banda magnética de la tarjeta.
Sin embargo, hay algunas diferencias clave. Por un lado, la seguridad integrada que viene con EMV significa que los atacantes sólo pueden obtener la misma información que obtendrían de un skimmer. En su blog, el investigador de seguridad Brian Krebs explica que «aunque los datos que normalmente se almacenan en la banda magnética de una tarjeta se replican dentro del chip en las tarjetas con chip, el chip contiene componentes de seguridad adicionales que no se encuentran en la banda magnética». Esto significa que los ladrones no podrían duplicar el chip EMV, pero sí podrían utilizar los datos del chip para clonar la banda magnética o utilizar su información para algún otro fraude.
El representante de Kaspersky con el que hablamos fue inequívoco en su confianza en las tarjetas con chip. «EMV todavía no está roto», dijo Kaspersky a PCMag. «Los únicos hackeos exitosos de EMV son en condiciones de laboratorio»
El verdadero problema es que los shimmers se esconden dentro de las máquinas víctimas. El shimmer que aparece en la foto de abajo fue encontrado en Canadá y denunciado a la RCMP (enlace de Internet Archive). Es poco más que un circuito integrado impreso en una fina lámina de plástico.
Image credit: Coquitlam RCMP
Comprobar si hay manipulación
Comprobar si hay manipulación en un dispositivo de punto de venta puede ser difícil. La mayoría de nosotros no estamos en la cola del supermercado el tiempo suficiente para dar un buen repaso al lector. También es más difícil que los ladrones ataquen estas máquinas, ya que no se dejan desatendidas. Los cajeros automáticos, en cambio, suelen dejarse sin vigilancia en los vestíbulos o incluso al aire libre, lo que los convierte en objetivos más fáciles.
Aunque la mayor parte de este artículo trata de los cajeros automáticos, tenga en cuenta que las gasolineras, las estaciones de pago del transporte público y otras máquinas desatendidas también son susceptibles de ser atacadas. Nuestros consejos también se aplican en estas circunstancias.
Cuando se acerque a un cajero automático, compruebe si hay algunos signos evidentes de manipulación en la parte superior del cajero, cerca de los altavoces, el lateral de la pantalla, el propio lector de tarjetas y el teclado. Si algo parece diferente, como un color o material distinto, gráficos que no están alineados correctamente o cualquier otra cosa que no parezca correcta, no utilice ese cajero.
Si está en el banco, es una buena idea echar un vistazo rápido al cajero que está al lado del suyo y compararlos. Si hay alguna diferencia evidente, no utilice ninguno de los dos; en su lugar, informe a su banco de la manipulación sospechosa. Por ejemplo, si un cajero automático tiene una entrada de tarjeta que parpadea para indicar dónde debe insertar la tarjeta y el otro cajero tiene una ranura simple, sabrá que algo va mal. La mayoría de los «skimmers» se pegan encima del lector existente y ocultan el indicador parpadeante.
Si el teclado no le parece correcto -demasiado grueso o descentrado, tal vez-, es posible que haya una superposición para robar el PIN. No lo utilice. Busque otros signos de manipulación, como agujeros que puedan ocultar una cámara o burbujas de pegamento de una cirugía apresurada de la máquina.
Incluso si no puede ver ninguna diferencia visual, empuje todo. Los cajeros automáticos están sólidamente construidos y generalmente no tienen piezas sueltas. Los lectores de tarjetas de crédito tienen más variaciones, pero aun así: tire de las partes que sobresalen, como el lector de tarjetas. Comprueba si el teclado está bien sujeto y es de una sola pieza. Si algo se mueve cuando lo empuja, preocúpese.
Piense en su transacción
Cuando introduzca el PIN de una tarjeta de débito, asuma que hay alguien mirando. Quizás sea por encima de su hombro o a través de una cámara oculta. Incluso si el cajero automático o la máquina de pago parecen estar bien, cúbrase la mano mientras introduce el PIN. Obtener el PIN es esencial. Sin él, los delincuentes están limitados en lo que pueden hacer con los datos robados.
Los delincuentes suelen instalar skimmers en cajeros automáticos que no están ubicados en lugares demasiado concurridos, ya que no quieren ser observados instalando hardware malicioso o recogiendo los datos cosechados (aunque siempre hay excepciones). Los cajeros automáticos de interior suelen ser más seguros que los de exterior, ya que los atacantes pueden acceder a las máquinas de exterior sin ser vistos. Deténgase y considere la seguridad del cajero automático antes de utilizarlo.
Siempre que sea posible, no utilice la banda magnética de su tarjeta para realizar la transacción. La mayoría de los terminales de pago utilizan ahora la banda magnética como recurso y te pedirán que introduzcas el chip en lugar de pasar la tarjeta. Si el terminal de la tarjeta de crédito acepta transacciones NFC, considera utilizar Apple Pay, Samsung Pay o Android Pay.
Estos servicios de pago sin contacto tokenizan la información de tu tarjeta de crédito, por lo que tus datos reales nunca quedan expuestos. Si un delincuente intercepta de algún modo la transacción, solo obtendrá un número de tarjeta de crédito virtual inútil. Algunos dispositivos Samsung pueden emular una transacción con banda magnética a través del teléfono. Esta tecnología se llama MST, pero ya ha sido descontinuada.
Un escenario que suele requerir el uso de la banda magnética es el pago de combustible en un surtidor de gasolina. Estos están plagados de ataques, porque muchos aún no soportan las transacciones EMV o NFC, y porque los atacantes pueden acceder a los surtidores sin ser notados. Es mucho más seguro entrar y pagar al cajero. Si no hay un cajero de guardia, usa los mismos consejos para usar los cajeros automáticos e investiga el lector de tarjetas antes de usarlo.
Recomendado por nuestros editores
De los Skimmers a los Shimmers a los E-Skimmers
No es de extrañar que exista un equivalente digital llamado e-skimming. Al parecer, el hackeo de British Airways de 2018 se basó en gran medida en este tipo de tácticas.
Como explicó Bogdan Botezatu, Director de Investigación e Informes de Amenazas de Bitdefender, el e-skimming es cuando un atacante inserta un código malicioso en un sitio web de pago que arrebata la información de tu tarjeta.
«Estos e-skimmers se añaden comprometiendo las credenciales de la cuenta del administrador de la tienda online, el servidor de alojamiento web de la tienda, o comprometiendo directamente el para que distribuyan copias contaminadas de su software», explicó Botezatu. Esto es similar a una página de phishing, con la diferencia de que la página es auténtica: el código de la página sólo ha sido manipulado.
«Los ataques de e-skimming son cada vez más hábiles para evadir la detección», dijo Botezatu. «Cuanto más tiempo mantenga un atacante este punto de apoyo, más tarjetas de crédito podrá recoger».
La lucha contra este tipo de ataques depende en última instancia de las empresas que gestionan estas tiendas. Sin embargo, hay algunas cosas que los consumidores pueden hacer para protegerse. Botezatu sugirió que los consumidores utilicen un software de suite de seguridad en sus ordenadores, que, según dijo, puede detectar códigos maliciosos y evitar que introduzcas tu información.
Alternativamente, puede evitar introducir la información de su tarjeta de crédito con tarjetas de crédito virtuales. Se trata de números de tarjeta de crédito falsos que están vinculados a su cuenta de tarjeta de crédito real. Si una de ellas se ve comprometida, no tendrá que obtener una nueva tarjeta de crédito, sólo generar un nuevo número virtual. Algunos bancos, como Citi, ofrecen esta función, así que pregunte al suyo si está disponible. Si no puedes conseguir una tarjeta virtual de un banco, Abine Blur ofrece tarjetas de crédito enmascaradas a los suscriptores, que funcionan de forma similar. Apple Pay y Google Pay también se aceptan en algunos sitios web.
Otra opción es inscribirse en las alertas de tarjetas. Algunos bancos enviarán una alerta push a tu teléfono cada vez que se utilice tu tarjeta de débito. Esto es útil, ya que puedes identificar inmediatamente las compras falsas. Si tu banco ofrece una opción similar, intenta activarla. Las aplicaciones de finanzas personales como Mint.com pueden facilitar la tarea de clasificar todas sus transacciones.
Manténgase alerta
Incluso si lo hace todo bien y repasa cada centímetro de cada máquina de pago que encuentra (para disgusto de las personas que están detrás de usted en la cola) puede ser el objetivo de un fraude. Pero anímese: Siempre que denuncies el robo a la entidad emisora de tu tarjeta (en el caso de las tarjetas de crédito) o al banco (donde tengas tu cuenta) lo antes posible, no te harán responsable. Se le devolverá el dinero. Los clientes comerciales, en cambio, no tienen la misma protección legal y pueden tener más dificultades para recuperar su dinero.
Además, intente utilizar una tarjeta de crédito si tiene sentido para usted. Una transacción de débito es una transferencia de efectivo inmediata y a veces puede llevar más tiempo corregirla. Las transacciones con tarjeta de crédito pueden detenerse y anularse en cualquier momento. Esto presiona a los comerciantes para que mejoren la seguridad de sus cajeros automáticos y terminales de punto de venta. Sin embargo, el uso excesivo del crédito tiene sus propias trampas, así que tenga cuidado.
Por último, preste atención a su teléfono. Los bancos y las compañías de tarjetas de crédito suelen tener políticas de detección de fraude muy activas y se pondrán en contacto con usted de inmediato, normalmente por teléfono o SMS, si detectan algo sospechoso. Responder rápidamente puede significar detener los ataques antes de que puedan afectarle, así que tenga su teléfono a mano.
Sólo recuerda: si algo no te parece bien en un cajero automático o en un lector de tarjetas de crédito, no lo uses. Siempre que puedas, utiliza el chip en lugar de la banda de tu tarjeta. Tu cuenta bancaria te lo agradecerá.
Fahmida Y. Rashid contribuyó a esta historia