Saltar al contenido 
El momento en que empecé a preocuparme seriamente por el robo de tarjetas de crédito y de débito no fue cuando toda mi cuenta bancaria fue transferida a Turquía o cuando tuve que sustituir una tarjeta de crédito tres veces en dos meses por cargos fraudulentos. Fue cuando aprendí que robar un número de tarjeta de crédito es tan fácil como enchufar un lector de banda magnética en un ordenador y abrir un programa de procesamiento de textos. Cada vez que lo pasas, el número de la tarjeta de crédito se escupe sin ninguna configuración adicional. Los dispositivos más avanzados para robar sus datos son instalados por los delincuentes directamente en los cajeros automáticos y en los lectores de tarjetas de crédito. Estos dispositivos se llaman skimmers, y si se tiene cuidado, se puede evitar ser víctima de estos insidiosos dispositivos.
Contenido:
¿Qué son los skimmers?
Los skimmers son básicamente lectores de tarjetas malignos que se conectan a los terminales de pago reales para que puedan recoger datos de cualquier persona que pase su tarjeta. El ladrón a menudo tiene que volver a la máquina comprometida para recuperar el archivo con todos los datos robados, pero con esta información en la mano puede crear tarjetas clonadas o simplemente irrumpir en cuentas bancarias para robar dinero. Quizás la parte más aterradora es que los espumadores a menudo no logran evitar que el cajero automático o el lector de tarjetas de crédito funcionen correctamente, lo que hace más difícil su localización.
Los clásicos ataques de skimming están en curso y es probable que sigan siendo un problema ahora que los bancos han cambiado a las tarjetas inteligentes EMV, dice Stefan Tanase, investigador de seguridad de Kaspersky Lab. Incluso si las tarjetas tienen un chip, los datos seguirán estando en la banda magnética de la tarjeta para ser compatibles con los sistemas que no pueden manejar el chip, nos dijo. Incluso ahora, mucho después de la introducción de las tarjetas EMV en los EE.UU., algunos minoristas todavía requieren que sus clientes utilicen la banda magnética.
El típico desnatador de cajeros automáticos es un pequeño dispositivo que se coloca sobre un lector de tarjetas existente. Por lo general, los atacantes también instalan una cámara oculta en algún lugar cercano para registrar los números de identificación personal o los PIN utilizados para acceder a las cuentas. La cámara puede estar ubicada en el lector de tarjetas, en la parte superior del cajero automático, o incluso en el techo. Algunos delincuentes instalan teclados falsos sobre los teclados reales para capturar el PIN directamente sin necesidad de una cámara.
La foto de arriba es una verdadera espumadera en uso en un cajero automático. ¿Ves la extraña y voluminosa parte amarilla? Esa es la espumadera. Este es fácil de reconocer porque tiene un color y un material diferente al del dispositivo objetivo, pero hay otros signos reveladores. Debajo de la ranura donde se inserta la tarjeta, hay flechas levantadas incrustadas en la carcasa de plástico del dispositivo. Puedes ver como las flechas grises están muy cerca de la carcasa del lector amarillo y casi se superponen. Esto es una señal de que se ha instalado un skimmer sobre el existente, ya que el verdadero lector de tarjetas tendría algún espacio entre la ranura de la tarjeta y las flechas.
De la espumadera al brillo
Cuando los bancos de EE.UU. finalmente se pusieron al día con el resto del mundo y comenzaron a emitir tarjetas inteligentes, esto fue un gran beneficio de seguridad para los consumidores. Estas tarjetas inteligentes, o tarjetas EMV, proporcionan una seguridad más robusta que las dolorosamente simples bandas magnéticas de las antiguas tarjetas de crédito. Pero los ladrones aprenden rápido y han tenido años para perfeccionar los ataques en Europa y Canadá que apuntan a las tarjetas inteligentes.
En lugar de espumaderas encima de los lectores de banda magnética, hay espumaderas dentro de los lectores de tarjetas. Estos son dispositivos muy, muy delgados que no son visibles desde el exterior. Cuando insertas tu tarjeta, el shimmer lee los datos del chip de tu tarjeta, de manera similar a como un skimmer lee los datos de la banda magnética de tu tarjeta.
Sin embargo, hay algunas diferencias significativas. En primer lugar, la seguridad integrada que viene con el EMC significa que los atacantes sólo pueden obtener la misma información que obtendrían de un skimmer. En su blog, el investigador de seguridad Brian Krebs explica que «los datos recogidos por los skimmers no pueden ser utilizados para hacer una tarjeta basada en un chip, pero sí para clonar una tarjeta de banda magnética». Aunque los datos que normalmente se almacenan en la banda magnética de una tarjeta se replican en tarjetas con chip dentro del chip, éste contiene un componente de seguridad adicional que no se encuentra en la banda magnética», explica Krebs en su blog.
El verdadero problema es que los brillos son mucho más difíciles de detectar porque están en los cajeros automáticos o en las máquinas expendedoras. El destello que se muestra a continuación se encontró en el Canadá y se comunicó a la RCMP. Es poco más que un circuito integrado impreso en una fina lámina de plástico. Si los dueños del dispositivo comprometido no hubieran tenido cuidado, podría haber robado información de cualquiera que lo usara.
Los fabricantes de cajeros automáticos no aceptaron este tipo de fraude. Los cajeros automáticos más nuevos tienen robustos dispositivos anti-apertura, que a veces incluyen sistemas de radar diseñados para detectar objetos insertados en el cajero automático o unidos a él. Sin embargo, un investigador de la Conferencia de Seguridad de Sombreros Negros logró utilizar el radar de a bordo de un cajero automático para detectar números de identificación personal como parte de una sofisticada estafa.
Las amenazas son reales y están en evolución, por lo que es muy importante dar a cada cajero automático o lector de tarjetas de crédito una rápida comprobación antes de usarlos.
Comprobar si hay manipulación
Al acercarse a un cajero automático, busque algunas señales obvias de manipulación en la parte superior del cajero, cerca de los altavoces, en el lado de la pantalla, en el propio lector de tarjetas y en el teclado. Si algo se ve diferente, como un color o material diferente, gráficos que no están bien alineados o cualquier otra cosa que no se vea bien, no use este cajero automático. Lo mismo se aplica a los lectores de tarjetas de crédito en la caja o en las gasolineras.
Cuando estés en el banco, es una buena idea echar un vistazo rápido al cajero automático que está al lado del tuyo y compararlos. Si hay diferencias obvias, no use ninguna de ellas y reporte la manipulación sospechosa a su banco. Por ejemplo, si un cajero automático tiene una entrada de tarjeta intermitente que indica dónde insertar la tarjeta del cajero automático y el otro cajero tiene una ranura de lectura simple, sabes que algo está mal. La mayoría de los desnatadores se pegan al lector existente y cubren la pantalla parpadeante.
Si el teclado no se siente realmente grueso, puede haber una superposición de instantáneas de PIN, así que no lo use.
Que todo se tambalee
Incluso si no puedes ver ninguna diferencia visual, presiona sobre todo, dijo Tanase. Los cajeros automáticos son de construcción sólida y generalmente no tienen partes sueltas. Los lectores de tarjetas de crédito tienen más variación, pero aún así: tiran de las partes salientes como el lector de tarjetas. Asegúrate de que el teclado esté bien sujeto y que sea de una sola pieza. ¿Se mueve algo cuando lo presionas?
Los skimmers leen la banda magnética cuando se inserta la tarjeta, así que menéala un poco cuando la insertas, aconsejó Tanase. El lector necesita la raya en un solo movimiento, porque si no se inserta directamente, no puede leer los datos correctamente. Si se trata de un cajero automático donde la tarjeta se retira y se devuelve al final de la transacción, el lector está en el interior. Si mueve la tarjeta al insertarla en la ranura, su transacción no se verá obstaculizada, pero la espumadera quedará cubierta por el movimiento.
Esta táctica no funciona con tarjetas brillantes, ni tampoco en los cajeros automáticos que capturan y retienen su tarjeta durante la transacción. Sin embargo, todavía hay formas de protegerse cuando se usan estas máquinas.
Piensa en tus pasos
Cada vez que ingresas el PIN de tu tarjeta de débito, asume que alguien está mirando. Tal vez está sobre tu hombro o a través de una cámara oculta. Cubre el teclado con tu mano cuando introduzcas tu PIN, dijo Tanase. Es una buena política, incluso si no notas nada extraño en el cajero automático. Obtener el PIN es esencial porque los criminales no pueden usar los datos de la banda magnética robada sin él, nos dijo Tanase. Por supuesto, esto supone que el atacante utiliza una cámara y no una superposición para obtener su PIN.
Los delincuentes suelen instalar espumaderas en los cajeros automáticos que no están en lugares congestionados porque no quieren que se les observe cuando instalan hardware maligno o recogen los datos que recogen. Los cajeros automáticos de los bancos son generalmente más seguros debido a las muchas cámaras, aunque algunos criminales atrevidos todavía se las arreglan para instalarlas allí. El cajero automático de una tienda de comestibles o un restaurante es generalmente más seguro que el de la acera. Deténgase y piense en la seguridad del cajero automático antes de usarlo.
Aún así, ningún lugar es seguro para un criminal emprendedor. Toma este video, por ejemplo. El ladrón instala una espumadera en segundos en el punto de venta de una tienda de comestibles.
La probabilidad de ser golpeado por un skimmer es mayor en el fin de semana que durante la semana, ya que es más difícil para los clientes informar al banco sobre cajeros automáticos sospechosos. Los delincuentes suelen instalar skimmers los sábados o domingos y luego los retiran antes de que los bancos vuelvan a abrir el lunes.
Si es posible, no utilice la banda magnética de su tarjeta para realizar la transacción. Para los lectores de tarjetas de crédito en la tienda, busca una ranura bajo el teclado del PIN para insertar tu tarjeta y el chip EMV para ser leído. Cuando usas tu chip EMV, la tarjeta está autorizada en el dispositivo y tus datos personales nunca se transfieren. Esto obliga a los criminales a atacar el funcionamiento interno de los lectores habilitados para EMV. Es posible descifrar los lectores de EMV, pero es mucho más difícil que desnaturalizar las bandas magnéticas.
Si la terminal de la tarjeta de crédito acepta transacciones NFC, considera usar Apple Pay, Samsung Pay o Android Pay. Estos servicios emiten la información de su tarjeta de crédito en fichas, por lo que su información personal nunca es revelada. Si un criminal intercepta la información de alguna manera, todo lo que recibe es un número de tarjeta de crédito virtual inútil. Tenga en cuenta que en ciertos dispositivos, el Samsung Pay puede emular una transacción de banda magnética cuando sostiene su teléfono sobre el lector de tarjetas. Esto es mucho más seguro que usar tu tarjeta de crédito.
Los federales advierten contra los piratas de los cajeros automáticos en los EE.UU.
Observa cómo se instala un rascador de tarjetas en segundos
Un escenario que a menudo requiere el uso de la banda magnética es el pago de combustible en un surtidor de gasolina. Estos son vulnerables a los ataques porque muchos de ellos todavía no soportan las transcaciones de EMC o NFC y porque los atacantes pueden acceder a los surtidores de combustible sin ser detectados. Es mucho más seguro entrar y pagar al cajero. Si no hay un cajero de turno, use los mismos consejos para usar los cajeros automáticos y compruebe el lector de tarjetas antes de usarlo.
Ataques y soluciones digitales
El último hack de British Airways introdujo un nuevo concepto: el skimmer de mapas digitales. En lugar de un dispositivo físico para capturar sus datos de mapas o un sitio de phishing falso que le engaña para que introduzca sus datos, un skimmer digital es un software malicioso que se infiltra en un sitio web legítimo.
La lucha contra este tipo de ataques es, en última instancia, responsabilidad de las empresas, que deben garantizar la seguridad de sus sitios y servicios. Pero hay algunas cosas que los consumidores pueden hacer para protegerse. Una forma es usar tarjetas de crédito virtuales. Estos son números de tarjeta de crédito falsos que están vinculados a su cuenta de tarjeta de crédito real. Si uno de ellos está comprometido, no tienes que conseguir una nueva tarjeta de crédito, sólo generar un nuevo número virtual. Algunos bancos, como el Citi, ofrecen esta función, así que pregunte al suyo si está disponible.
Si no puedes conseguir una tarjeta virtual de un banco, Abine Blur ofrece tarjetas de crédito enmascaradas a los suscriptores. Estas son tarjetas de crédito prepagas que puedes crear sobre la marcha y usar para compras en línea. Abine incluso da un nombre falso y una dirección de facturación para ocultar aún más su información personal. Si alguno de estos detalles se revelan, no perderá ningún dinero o información privada.
Otra posibilidad es registrarse para las licitaciones de entradas. Por ejemplo, Ally Bank envía una notificación push a su teléfono cada vez que se utiliza su tarjeta de débito. Esto es útil porque puedes detectar compras falsas inmediatamente. Si su banco ofrece una opción similar, intente encenderlo.
Mantente alerta
Si no te das cuenta de que un desnatador de tarjetas y los datos de tu tarjeta son robados, anímate. Siempre que denuncie el robo al emisor de su tarjeta (en el caso de las tarjetas de crédito) o a su banco (donde tiene su cuenta) lo antes posible, no será responsable de la cantidad perdida y se le devolverá el dinero. Los clientes comerciales, por otro lado, no tienen la misma protección legal y pueden tener más dificultades para recuperar su dinero.
También intenta usar una tarjeta de crédito siempre que sea posible. Una transacción de débito directo es una transferencia instantánea de efectivo y requiere la presentación de una reclamación a la FDIC, que puede tardar semanas en procesarse. Las transacciones con tarjeta de crédito pueden ser detenidas y revertidas en cualquier momento, presionando a los comerciantes para que aseguren mejor sus cajeros automáticos y terminales de puntos de venta.
La notificación oportuna es muy importante en los casos de fraude, por lo que hay que estar atento a las transacciones de las tarjetas de débito y de crédito. Las aplicaciones financieras personales como Mint.com pueden facilitarle la clasificación de todas sus transacciones.
Por último, presta atención a tu teléfono. Los bancos y las compañías de tarjetas de crédito suelen tener políticas de detección de fraude muy activas y se pondrán en contacto con usted inmediatamente, normalmente por teléfono o SMS, si notan algo sospechoso. Una respuesta rápida puede significar detener los ataques antes de que puedan afectarte, así que ten el teléfono a mano.
Sólo recuerda: si algo en un cajero automático o en un lector de tarjetas de crédito no se siente bien, simplemente no lo uses. Siempre que puedas, usa el chip en lugar de la banda de tu tarjeta. Su cuenta bancaria se lo agradecerá.
