CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Los defraudadores bancarios reinventan sus estafas, pero tú puedes ganarles

Los ladrones de tarjetas de crédito están desarrollando nuevos esquemas de robo que, incluso, engañan a los expertos. Sin embargo, hay una manera de ganarles la partida, al menos a algunos de ellos.

Ariel Nunez/CNET

Puedes aprender a librarte de algunos defraudadores expertos en tarjetas de crédito.

Ariel Núñez/CNET

Con sólo deslizar tu tarjeta de crédito puedes pagar la gasolina, pero también podrías estar enviando información muy valiosa a ladrones. Claro, esto si hubieras caído en las manos de un defraudador experto. 

Los estafadores de tarjetas bancarias que extraen tu información cuando haces pagos o sacas dinero del cajero llevan operando por más de una década, pero lo hacen de forma encubierta para que no te des cuenta cuando fuiste embaucado.  

Sin embargo, los dispositivos han evolucionado con el tiempo, y los expertos aseguran que estamos en ese punto en donde realmente no podemos ver con claridad la diferencia entre la tecnología limpia y la fraudulenta.    

Además, en los últimos años se ha registrado una tasa alarmante de fraudes. El número de cajeros automáticos vulnerados aumentó seis veces entre 2014 y 2015. Y, en 2016, el número de delitos creció 30 por ciento, de acuerdo con FICO, una empresa de software de análisis. Por su parte, la Comisión Federal de Comercio (Federal Trade Commission) expuso en junio pasado una alarma pública con consejos de cómo evitar que te roben la información de tu tarjeta de crédito o débito.   

Una de las nuevas formas de estafar desarrollada por los hackers es la creación de un ladrón virtual, es decir, un programa malicioso que se instala de forma remota. A través de este programa invasor ellos pueden robar la información de tu plástico sin siquiera haber tocado el cajero automático, la bomba de gasolina o cualquier otro dispositivo que lea tu tarjeta. Esto es una evolución del ladrón o dispositivo físico que los estafadores instalaban directamente en los cajeros automáticos. En enero de 2016, una oleada de hackers que instaló programas maliciosos en diferentes cajeros automáticos logró extraer USD$13.5 millones de euros, de acuerdo con estimaciones de la firma Trend Micro. 

Con esta evolución, los defraudadores son cada vez más difíciles de rastrear, explica Mark Nunnikhoven, vicepresidente de Seguridad en la Nube de Trend Micro. "Es casi imposible saber si una computadora se ha visto comprometida con un sistema o un programa", asegura. 

Como si no tuviéramos suficiente para preocuparnos cuando hablamos de seguridad en los equipos. 

Sólo este año ha venido acompañado de un sinfín de amenazas de todo tipo. Hace algunos meses, el virus ransomware tomó miles de computadoras PC en todo el mundo, secuestrándolas a cambio de un pago por devolver su información. Y la verdad no creemos que este sea un problema de una sola vez. Seguramente volverá a ocurrir. De hecho, las semanas pasadas supimos que algunas versiones del popular limpiador de software CCleaner fue infectado por un programa malicioso.   

Luego, en lo que se refiere al tema de las tarjetas bancarias, supimos del ataque masivo Equifax, el cual expuso públicamente información muy sensible de casi la mitad de la población de Estados Unidos. ¡Uff! ¡Eso fue muy desagradable! 

Cuando 100 números de tarjetas de crédito se venden en línea por sólo USD$19 el destajo, es fácil ver cuál es el incentivo para los cibercriminales. La información que lleva una tarjeta de crédito está alimentando un ecosistema entero de ilegalidad, al grado de que existen ladrones que están abriendo escuelas en línea para formar a los hackers del futuro.  

Los hackers pueden crear ladrones virtuales con sólo ingresar a la red de los bancos. Sólo necesitan engañar a un ejecutivo que les dará acceso sin saberlo, explica Nunnikhoven. De esta forma, en lugar de arriesgarse físicamente y comprometer sólo un cajero automático a la vez, pueden ingresar a la red y violar miles de cajeros automáticos de una sola vez. Además, la posibilidad de ser descubiertos es mínima.

"Los cajeros automáticos en realidad son computadoras muy sencillas que básicamente están insertadas en una caja que entrega dinero", dice Nunnikhoven. "Y sabemos que tenemos miles de problemas de seguridad con computadoras que no son tan sencillas y que no entregan efectivo". 

El problema de las estaciones de gasolina

Los bancos trabajan todos los días con el objetivo de mantenerse siempre un paso adelante de los defraudadores profesionales, con técnicas como agregar un chip a sus tarjetas, el cual es más seguro que las bandas magnéticas. Además, se han implementado nuevas regulaciones. Desde octubre de 2015, cualquier tienda que decidiera seguir utilizando las terminales con el antiguo sistema de bandas magnéticas, se declararía responsable en el caso de que se presentara un fraude. Esta normatividad obligó a los establecimientos a adoptar la nueva tecnología de forma muy rápida. Sin embargo, hay una excepción muy importante que resaltar: esta normatividad no aplicará para las gasolineras sino hasta 2020. 

Esto significa que los ladrones que normalmente tienen como objetivo los cajeros automáticos en las tiendas, ahora están atacando las bombas de gasolina. 

"Estamos observando que las estafas con tarjetas bancarias ahora son más comunes en las estaciones de gasolina", comenta Angel Grant, director de Fraudes e Inteligencia de Riesgos de la firma de seguridad RSA.  

En las gasolineras, los programas de hackeo pueden instalarse en los lectores de tarjetas de crédito en menos de 30 segundos, y estos copiarán y almacenarán toda la información de tu tarjeta bancaria que será enviada a los defraudadores. Además, es algo muy sencillo de hacer, pues las bombas de gasolina generalmente están sin vigilancia por las noches, y los ladrones pueden instalar su sistema rápidamente mientras fingen que cargan gasolina.   

El programa que instalaron almacena la información, y luego, con sólo acercarse un poco, los ladrones pueden descargar toda la información vía Bluetooth, sin siquiera tocar la bomba de gasolina de nuevo.

Los dueños de las estaciones de gasolina no tienen ningún interés por apresurar los cambios de forma urgente, dado que este cambio de tecnología es muy costoso, en especial en las bombas de gasolina. No es lo mismo que cambiar un cajero automático o un lector en punto de venta. 

There's an app now that can help you find hidden skimmers.

Ya llegó la aplicación que te ayudará a detectar si hay programas fraudulentos. 

SparkFun

El contraataque

En Reddit, es muy común encontrar publicaciones de personas que tratan de localizar un lector fraudulento agitando el cajero automático o incluso, rompiéndolo o jalando de él. Sin embargo, hay opciones más efectivas. Un programador que trabaja en SparkFun Electronics creó una aplicación que evita que destruyas el dispensador de efectivo de tu comunidad. 

Toda vez que la mayor parte de los defraudadores usan la tecnología Bluetooth para recolectar la información robada, tu celular podría detectar cualquier aditamento de robo muy fácilmente. Nathan Seidle, fundador de SparkFun, creó el Skimmer Scanner, el cual es una aplicación en tu celular que detecta rápidamente la señal de  Bluetooth de cualquier aditamento instalado. Este es aún más eficiente en las bombas de gasolina.    

La empresa con oficinas en la ciudad de Boulder, Colorado, trabaja con la policía local para probar su eficiencia en una zona de muchos fraudes, es un módulo llamado HC-05. Estos módulos son típicamente utilizados para proyectos educativos del estilo 'hágalo usted mismo', los cuales muestran cómo activar sistemas Bluetooth en dispositivos del hogar. Sin embargo, estos módulos también son extremadamente comunes para crear lectores fraudulentos de tarjetas bancarias y sólo cuestan USD$3 cada uno.  

"Obviamente estos se producen en masa", explica Siedle. "Son tan baratos que simplemente pueden regar cientos de ellos por toda la ciudad". 

Dado que estos aditamentos para hacer fraudes son extremadamente baratos, los nombres asignados a sus Bluetooth no se pueden cambiar, siempre son HC-05. Además, todos usan una misma clave predeterminada que es "1234". En otras palabras, su débil configuración es la misma que te puede causar muchos problemas en los dispositivos de tu hogar. 

El Skimmer Scanner busca conexiones con ese nombre, luego trata de conectarse con la clave predeterminada, de la misma forma que lo haría el ladrón que quiere robar tu información. Luego, la aplicación manda vía Bluetooth una letra "P" al dispositivo sembrado y, sí es un lector fraudulento de tarjetas bancarias, te regresará una "M" como respuesta. Esta aplicación ha logrado detectar lectores fraudulentos desde distancias que van de los cinco a los 15 pies. 

La aplicación en versión Android está disponible gratis en la tienda Google Play, y con un formato abierto en Github.

Los expertos dicen que esta aplicación es un gran paso para contraatacar a los defraudadores, en especial considerando lo común que es encontrar un módulo HC-05. Sin embargo, esto no significa que detendrá el problema.  

Eventualmente, cuando los defraudadores se den cuenta de lo fácil que es bloquear los Bluetooth del módulo HC-05, se moverán hacia una tecnología que no sea tan fácil de detectar, asegura Nunnikhoven.

"Sin duda las aplicaciones como Skimmer Scanner tienen un tiempo de vida", agrega. "Los ladrones siempre están cambiando sus estrategias para evitar que sean descubiertos".