Sobre cómo pagar nuestras compras en tiendas físicas hay dos temas o debates abiertos: la posible eliminación o limitación del uso de dinero en efectivo y la implantación de nuevos métodos de pago, como los pagos con el móvil. Pero mientras ambos se cierran, y no parece que vayan para corto, nos seguiremos exponiendo a un problema cuando acudimos a un cajero automático: la posibilidad de que nuestra tarjeta sea clonada.
Hoy nos vamos a centrar en el lado tecnológico de los clonadores de tarjetas. ¿Cómo funciona esa tecnología que se queda con todos los datos de nuestra tarjeta para dejarnos sin saldo en nuestras cuentas o con importantes deudas en cuestión de segundos? Conozcamos a fondo cómo funciona y precauciones que podemos tomar para no caer en la trampa.
Skimming, tu tarjeta ya no es segura
La clonación de tarjetas y el robo de los datos que contienen sus bandas magnéticas, skimming en su término en inglés, se produce en muchas ocasiones en cajeros automáticos, aunque también han salido a la luz casos de trabajadores de establecimientos que contaban con un segundo lector de tarjetas además del propio datáfono de la tienda para realizar dicho robo de datos.
Los cajeros preferidos por los delincuentes son los no situados en las propias oficinas bancarias, ya que éstos suelen ser los más vigilados. Los malhecheros prefieren cajeros callejeros, cuanto menos frecuentados mejor, para situar en el lector de tarjetas un segundo lector camuflado bajo la misma apariencia que el original, que será el que posteriormente recuperarán para obtener toda la información de las tarjetas que por él hayan pasado.
Además, si lo que quiere el delincuente es clonar esa tarjeta, crearse una a la semejanza de la original pero con otro nombre para hacer compras en comercios físicos, también necesitan el PIN de la tarjeta, información no contenida en ella. Para ello el método más empleado es el de colocar una cámara escondida que grabe como el usuario teclea su PIN en el cajero.
Cómo se obtienen los datos de las tarjetas
Todo lo relatado hasta ahora es relativamente sencillo, basta con adentrarse en las profundidades de internet para empezar a hacer el mal. En la deep web, y en webs de acceso fácil, se pueden obtener lectores que se asemejan a los empleados por numerosos bancos en sus cajeros, teclados también muy similares o las cámaras para grabar como el usuario introduce su número PIN.
Una vez la tarjeta del usuario ha pasado por lector el skimmer ya tiene gran parte de la fechoría completada, ya que la información de la tarjeta está ahí, sin encriptaciones que superar. La banda magnética, presente en todo tipo de tarjetas bancarias a pesar de la llegada del chip y las tarjetas contactless, tiene tres pistas en las que según la ISO 7811 se graba toda la información necesaria.
Es en la primera pista donde se concentra toda la información que un skimmer ansía. Los primeros caracteres son los que contienen el número de la tarjeta. Tras un primer separador se encuentra el nombre completo del titular de la misma y de seguido se encuentra la fecha de caducidad y el último dato relevante para hacer compras por internet con cualquier tarjeta, código de seguridad o CVV.
Con esa información, el skimmer ya tiene todo lo necesario para hacer el mal, ya sea fabricándose su propia tarjeta física con dichos datos (aunque necesitaría el PIN para hacer compras presenciales), usando los datos conseguidos para realizar compras online o lo que hacen muchos de estos delincuentes, vendiendo los datos a otros usuarios interesados en la deep web.
Y si alguien piensa que trasladar los datos obtenidos de una tarjeta de crédito a una nueva tarjeta es un paso complicado en blanco se confunde. En internet es sencillo comprar el dispositivo necesario para ello, ya que el mismo dispositivo se puede requerir para fines totalmente lícitos como crear tarjetas de acceso. Ir con una tarjeta en blanco a un comercio y comprar con ella, por mucho que contenga datos, sería extraño, pero tampoco es complicado estampar una tarjeta para que aparente ser una tarjeta bancaria más y no levantar sospechas.
Igualmente, si el skimmer quiere usar la tarjeta para compras en tiendas físicas necesitará el PIN. Para ello son capaces de esconder diminutas cámaras en distintos elementos que asemejan pertenecer al propio cajero para pasar desapercibidas. De nuevo, dar con una cámara para dicha función que permiten grabar vídeo a una tarjeta microSD, con una autonomía de hasta 10 horas, es sencillo, no siendo cámaras dedicadas para ello exclusivamente. También las hay incluso con conectividad WiFi, por no hablar de aquellos delincuentes que usaron un iPod Nano.
¿Un problema resuelto con las nuevas tarjetas?
Actualmente, en muchos países, es difícil encontrarse con tarjetas bancarias que no cuenten a la vez con banda magnética y chip, cuando no son también contactless. El problema para dejar atrás la banda magnética, que como hemos visto es un elemento totalmente inseguro, es que para ello todo el mundo tiene que adaptar sus cajeros, por el lado de los bancos, sus tarjetas y los datáfonos, por el lado de los comercios, para poder leer los chips.
Y por mucho que los bancos, tarjetas y tiendas de nuestro alrededor puedan estar adaptados, si viajamos nos podríamos encontrar bancos y/o tiendas no adaptados o usuarios con tarjetas sin chip, por lo que mientras el chip no sea aceptado globalmente no podremos dejar atrás la banda magnética. Pero la pregunta es, ¿es más seguro el chip que la banda magnética? La respuesta es un claro sí.
EMV es el nombre con el que se conoce a las tarjetas con circuito integrado, aunque dichas siglas únicamente responden a las compañías que establecieron dicho estándar (Europay, Mastercard y Visa) aunque posteriormente a ellas se han unido otras empresas. Toda la información contenida en los chips de las nuevas tarjetas está protegida mediante el uso de algoritmos de cifrado como Triple-DES, SHA o RSA, que por lo menos hasta el momento han demostrado ser infranqueables, por lo que acceder al contenido del chip y duplicarlo es imposible, por ahora.
¿Podemos hacer algo para evitar la clonación de nuestras tarjetas?
La seguridad al 100% no existe, y es que cada vez los skimmers disimulan con mayor acierto, para nuestro mal, los elementos necesarios para hacerse con los datos de una tarjeta, aunque si hay ciertas precauciones que podemos tomarnos para ponérselo más complicado. La primera de ella es desconfiar de cajeros que no conozcamos o que sean accesibles desde la calle. Los que están lejos o fuera de oficinas bancarias, en lugares de poco tránsito, son los que más fácilmente se pueden manipular.
Una vez estemos frente al cajero conviene comprobar si el lector en el que vamos a introducir la tarjeta o si el teclado parecen ser los originales del cajero. Cada vez los lectores o teclados simulados son más realistas, pero a la mínima sospecha deberíamos buscarnos otro cajero. Una de las recomendaciones más habituales es tapar con una mano el momento en el que tecleamos el PIN, por si nos grabase una cámara, y una más moderna es usar los lectores contactless de los cajeros más modernos, si es posible, ya que de esa manera será imposible que nos dupliquen la tarjeta.