Uno de los tipos de información más delicados es aquel que se relaciona con temas financieros. Estados de cuenta, transacciones, claves e identificadores; todos estos datos llevan consigo un potencial de daño enorme si son usados con intenciones maliciosas. Para una empresa, la sustracción o modificación no autorizada de información financiera causa problemas que van desde una merma en las ganancias, pérdida de competitividad, hasta sanciones estratosféricas y la bancarrota si el incidente afecta sustancialmente estados financieros.

Si nos enfocamos en el ámbito de las finanzas personales, ningún dato es más importante que los concernientes a la identificación, control y uso de cuentas bancarias, lo cual por lo general hacemos mediante tarjetas que nos expiden las instituciones financieras. La amenaza a la cual se enfrenta comúnmente el usuario promedio de la banca, es al fraude financiero a partir del robo y mal uso de la información contenida en tarjetas bancarias.

Los datos necesarios para la duplicación y fraude de tarjetas de bancos se encuentran en dos sitios: impresos -o grabados- en la propia tarjeta o bien guardados electrónicamente en la banda magnética y, cuando la tarjeta porta uno, en el chip.

El nombre del tarjetahabiente, número de cuenta, fecha de validez, vencimiento y números de control necesarios para realizar operaciones en las cuales el vendedor no tiene la tarjeta a la vista (denominadas card not present), como son las ventas por teléfono y las ventas por Internet, se pueden copiar o memorizar directamente de la tarjeta leyendo lo que se encuentra impreso en ella, por lo que este tipo de fraude puede ser realizado con muy poca tecnología y muy poco conocimiento. Desde el punto de vista de los criminales, este método es demasiado riesgoso porque el usuario puede ubicar e identificar con facilidad dónde fueron sustraídos esos datos, como por ejemplo el restaurante en el que se llevaron la tarjeta por más tiempo del requerido. No obstante la desventaja, este método siempre representará la opción fácil, por lo que no hay que presuponer que no existe riesgo y es muy recomendable que nos protejamos teniendo siempre control de quién ve nuestra tarjeta y qué hace mientras la tiene a la vista.

Los métodos más tecnificados para realizar la clonación de tarjetas a partir de la lectura de los datos contenidos en la banda magnética, reciben el nombre de skimming. Este fenómeno involucra aparatos tecnológicos medianamente sofisticados y parece ser uno de los más comunes entre los criminales alrededor del mundo. Las mecánicas empleadas son muy variadas, desde un lector portátil que es factible utilizar a la par que el del punto de venta normal, hasta dispositivos que se mimetizan con los receptáculos de cajeros automáticos (1), los cuales son combinados con cámaras escondidas en el propio cajero o teclados sobrepuestos para leer el PIN en el momento en que el usuario lo teclea. Los datos se guardan en el dispositivo para ser recogidos después por los criminales, o también obtenerlos mediante mecanismos como bluetooth o telefonía celular (2) para recolectar los datos a distancia.

En la actualidad el skimming es la forma más popular entre las bandas delincuentes, ya que permite el acceso a los fondos en efectivo, es muy difícil de detectar y es en general muy lucrativa. Una vez que el delincuente sincroniza los datos copiados de la banda magnética de la tarjeta con el video que contiene los números y secuencia del PIN de la víctima, está en posición de fabricar una réplica de la tarjeta para realizar retiros de efectivo hasta que se agote el saldo o la tarjeta sea bloqueada. Además de ser muy popular, esta forma de fraude constituye la amenaza más grande para el usuario promedio, ya que será muy difícil disputar al banco que no fuimos nosotros quienes retiramos el dinero (a menos, quizá, que el retiro haya sido en un lugar lejano o fuera del país en el cual no hayamos estado y que además podamos comprobarlo) puesto que, a diferencia de la firma autógrafa, el PIN es idéntico si lo digitamos nosotros o lo hace otra persona, por lo que es virtualmente imposible repudiar la transacción.

Es muy importante hacer notar que casi todos los dispositivos que existen para skimming explotan las vulnerabilidades propias de la banda magnética de las tarjetas. Entonces ¿Por qué no deshacerse de la dichosa banda magnética?, ¿es que no hay un mecanismo más seguro para guardar la información? Seguramente muchos de ustedes, apreciados lectores, se habrán percatado de que en México ya son mayoría los bancos que integran un chip en las tarjetas que emiten, sin embargo todas conservan aún la banda magnética. El chip que se incluye en las tarjetas bancarias es una forma mucho más segura de almacenar la información en ellas.

Con un microprocesador embebido, el chip es capaz de realizar operaciones complejas para autenticar los datos que emite e, inclusive, asignar identificadores únicos por transacción para un control mucho más estrecho de los movimientos efectuados. Las especificaciones del chip se incluyen en el estándar EMV(3) y están dictadas por un consorcio denominado EMVCo, en el que los principales proveedores de tarjetas (Europay, Visa y Mastercard) están involucrados por completo. La tecnología se complementa con el uso conjunto de un número identificador personal denominado también PIN (el cual, por cierto, puede ser igual o diferente al PIN que se usa para transacciones en cajeros automáticos), sin el cual es prácticamente imposible leer el contenido del chip o procesar una transacción.

¿Por qué entonces continuamos teniendo tarjetas con banda magnética? El problema, otra vez, es económico; y como ya he dicho antes, los factores económicos son más poderosos que los factores de seguridad. Las razones principales para conservar la banda magnética a la par que el esquema de chip y PIN son las siguientes:

  •  Los comercios deben implementar dispositivos lectores que reciban las tarjetas con chip, y el reemplazo es gradual debido al costo que implica, por lo que hay que mantener de forma temporal la compatibilidad con el antiguo sistema de banda magnética hasta que todos los comercios cuenten con dichos lectores.
  • Las instituciones financieras de los Estados Unidos de Norteamérica aún no han decidido adoptar el  estándar EMV de forma masiva(4), lo que obliga a los emisores de tarjetas a continuar colocando la banda magnética para que sus tarjetas puedan usarse en territorio estadounidense.

Al parecer tendremos que convivir con este tipo de fraude por algún tiempo todavía, es por ello que debemos tomar en cuenta estas recomendaciones para protegernos:

  • Mantener control sobre quién ve la tarjeta y qué hace en ese lapso. Como ya lo mencioné, la información visible en la tarjeta aún es útil para fraudes en transacciones del tipo card not present.
  • Revisar con cuidado el aspecto físico de los cajeros automáticos. Si el receptáculo para la tarjeta o el teclado para digitar el PIN parecen añadidos o no están perfectamente sujetos al resto de la máquina, prefiera no usar el cajero. Una prueba sencilla es aplicar fuerza física moderada para tratar de desprender la carátula o el teclado, si estos no se mueven, entonces lo más probable es que sea seguro.
  • Ocultar el tecleo del PIN en el cajero. Una técnica muy sencilla y efectiva consiste en cubrir con una mano lo que la otra hace mientras se teclea el PIN.

[email protected]

(1)    http://krebsonsecurity.com/2011/09/gang-used-3d-printers-for-atm-skimmers/

(2)    http://krebsonsecurity.com/2010/12/why-gsm-based-atm-skimmers-rule/

(3)    http://www.emvco.com/about_emv.aspx

(4)    http://www.foxbusiness.com/personal-finance/2011/06/06/why-your-credit-card-may-not-work-overseas