El fraude electrónico en cajeros automáticos (ATMs) ha sido uno de los vectores más explotados dentro de las entidades financieras, destacándose por su crecimiento en los últimos tiempos.

Existen diversas técnicas con las cuales los ciberdelincuentes logran hacerse de una copia de la banda magnética correspondiente a una tarjeta de crédito o débito, la cual es utilizada para consumar un hecho delictivo, realizando compras o directamente retirando dinero de cuentas bancarias.

En este caso profundizaremos en una técnica que implica la utilización de skimmers, para duplicar bandas magnéticas de tarjetas de crédito, para realizar fraudes financieros. Esta práctica es muy utilizada en todo el mundo debido a que suele darles buenos resultados a los cibercriminales, es de fácil adquisición y rápida implementación.

Acerca de las tarjetas

Las tarjetas de crédito o débito son un instrumento de pago ya instalado en todo el mundo, y por tal motivo se ha convertido en uno de los principales objetivos de los ciberdelincuentes como JacksPoS o Dexter.

Analizándolas, podemos decir que consisten en piezas plásticas cuyas dimensiones y características generales han adquirido absoluta uniformidad respondiendo a estándares internacionales (ISO 7810). En ellas pueden advertirse la entidad emisora, nombre del afiliado, una fecha del período temporal en la cual mantendrá su vigencia y la firma del portador legítimo. La parte principal consta de un sector con una banda magnética que almacena datos perceptibles  que mediante, instrumentos adecuados, pueden ser leídos y utilizados para realizar las transacciones. Hasta aquí, lo que todos sabemos.

skimmers2

Como elementos de seguridad, podemos mencionar que todas cuentan con un código PIN, una clave para operar en cajeros automáticos, el código de seguridad normalmente situado en la parte posterior, usado por ejemplo para compras en línea, y en casos particulares las tarjetas con chip que intentan evitar su clonación.

Por su parte, la banda magnética responde al estándar de seguridad ISO/IEC 7813, en el cual podremos encontrar tres tracks o zonas de escritura de datos, las cuales pueden ser leídas fácilmente con dispositivos específicos. En estas zonas, se encuentran datos críticos como el número de tarjeta y la fecha de caducidad y entidad emisora entre otros.

Instaurando falsas boquillas

skimmer3.jpg

En tiendas de electrónica de Internet o en la Deep Web, pueden conseguirse las boquillas que se encuentran en la mayoría de los cajeros del mundo. La imagen anterior corresponde a una publicación de venta de skimmers en la Deep Web, a la que accedimos durante la investigación. Los delincuentes adaptan estas piezas insertándoles sensores para poder capturar la banda magnética que contiene la información bancaria, y normalmente se utilizan en conjunto con pequeñas cámaras espía que registran los PIN ingresados en las transacciones.

Luego de un período de horas, estos dispositivos son recolectados correlacionando los datos del video grabado con los PINs y las tracks capturados. De esta manera, los delincuentes pueden clonar las tarjetas debido a que tienen en su poder dos cosas fundamentales: la banda magnética y el PIN de la víctima. Los delincuentes graban esta información en nuevos plásticos genéricos, que utilizan posteriormente para realizar las transacciones fraudulentas.

Este mecanismo es conocido por las empresas que fabrican ATM y es por esto que existen algunos dispositivos que se colocan próximos a la boquilla, los cuales generan ruido en la lectura de la banda magnética complicando su duplicación. Sin embargo, como contraparte, también existen técnicas que los delincuentes utilizan para saltar estas protecciones; tienen que ver con la forma en que se guardan los datos, como por ejemplo en archivos con extensión .MP3.

Haciendo una comparación con otra clase de ataque como son los phishing bancarios, debemos entender que la técnica es similar, solamente cambia el canal del engaño. En ambos casos, el objetivo es el fraude financiero  y el robo de información en forma de credenciales bancarias.

También comparten la forma de engañar al usuario, utilizando la imagen de una entidad conocida por las víctimas, como es el caso de un banco o red de cajeros.

Sin embargo, las formas de prevenir ser víctima de un phishing son bien distintas a los cuidados que debemos tener para el caso de los skimmers. Por este motivo, aquí van cinco recomendaciones que pueden ayudarte a no ser víctima de este tipo de fraude electrónico:

  • Intenta ocultar tu código del ojo de posibles cámaras ocultas

Simplemente sitúa tu mano libre sobre la que utilizarás para ingresar el PIN. De esta manera, en el caso que hayan logrado capturar tu banda magnética, no podrán utilizarla para realizar una extracción al no tener tu PIN de seguridad.

  • Utiliza cajeros automáticos con mayor seguridad

Procura utilizar aquellos ubicados en bancos. Si bien existen muchos en locaciones que son de fácil acceso, como la calle o un supermercado, en muchos casos no poseen todos las medidas de seguridad como cámaras de vigilancia o visitas de revisión por parte de personal de seguridad.

  • Observa con cuidado

En la mayoría de los casos, los skimmers son detectados por usuarios que se dan cuenta de que el cajero tiene algún agregado extraño o piezas flojas. Algunas cosas que debieran llamarte la atención son los abre puertas sueltos, teclados móviles, o agregados infrecuentes en la parte superior del cajero mirando hacia la pantalla.  En caso de percibir algún objeto fuera de lo común, es imprescindible comunicarse de inmediato con la entidad afectada.

  • Vigila tu resumen periódicamente

Una temprana detección de compras o extracciones no realizadas permitirá mitigar el impacto haciendo mucho más fácil volver atrás la operación fraudulenta. Existen diversos canales para poder revisar los estados de cuenta, ya sea desde aplicaciones para smartphones, envío de SMS o el ingreso a las cuentas desde Internet.

  • Utiliza tu tarjeta solo cuando sea necesario

En muchos lugares se necesita una tarjeta para ingresar a la zona de cajeros, aunque también es común encontrar casos en donde las puertas se encuentran directamente abiertas, en donde no existe ningún motivo por el cual exponer la banda magnética.

Si sigues estas buenas prácticas, podrás proteger la integridad de los datos de tu tarjeta.