Se­gu­ri­dad en ca­je­ros au­to­má­ti­cos, a 50 años de su crea­ción

A 50 años de su crea­ción, es­ta má­qui­na de la banca au­to­ma­ti­za­da es el blan­co de ci­ber­cri­mi­na­les

El Observador Fin de Semana - Cromo - - PORTADA - PRADEEP ATREY

El pri­mer ca­je­ro au­to­má­ti­co fue uti­li­za­do en Lon­dres el 27 de ju­nio de 1967. En lu­gar de la tar­je­ta plás­ti­ca de hoy con una ban­da mag­né­ti­ca y un mi­cro­chip in­crus­ta­do, la pri­me­ra má­qui­na acep­tó un tro­zo de pa­pel con una sus­tan­cia li­ge­ra­men­te ra­diac­ti­va –car­bono-14– im­pre­sa con un pa­trón par­ti­cu­lar. La má­qui­na bus­ca­ba la coin­ci­den­cia en­tre el pa­trón y el có­di­go nu­mé­ri­co in­tro­du­ci­do por el usua­rio.

Al uti­li­zar un ca­je­ro au­to­má­ti­co mo­derno, un clien­te in­ser­ta una tar­je­ta en el lec­tor de la má­qui­na, que re­gis­tra los da­tos co­di­fi­ca­dos en la ban­da mag­né­ti­ca o en su chip. El apa­ra­to le so­li­ci­ta un nú­me­ro de iden­ti­fi­ca­ción per­so­nal, ge­ne­ral­men­te lla­ma­do PIN. Si la tar­je­ta y el PIN coin­ci­den, en­ton­ces el clien­te pue­de de­po­si­tar di­ne­ro, re­vi­sar el sal­do de una cuen­ta o, más co­mún­men­te, so­li­ci­tar re­ti­ro de efec­ti­vo. Cuan­do el clien­te es­pe­ci­fi­ca una can­ti­dad de di­ne­ro, la má­qui­na uti­li­za una co­ne­xión a in­ter­net o una lí­nea te­le­fó­ni­ca pa­ra co­nec­tar­se con el ban­co pa­ra ve­ri­fi­car que los fon­dos es­tán dis­po­ni­bles.

Pro­ble­mas

Los ca­je­ros au­to­má­ti­cos son ob­je­ti­vos atrac­ti­vos pa­ra los de­lin­cuen­tes. Un ro­bo so­fis­ti­ca­do im­pli­ca vi­gi­lar en­cu­bier­ta­men­te al dis­po­si­ti­vo y a sus usua­rios. Los la­dro­nes pue­den ins­ta­lar pe­que­ñas cá­ma­ras en di­fe­ren­tes lu­ga­res, a ve­ces es­con­di­das por pa­ne­les de plás­ti­co que pa­re­cen par­tes nor­ma­les de la má­qui­na. Así pue­den cap­tu­rar el nú­me­ro de tar­je­ta, su fe­cha de ven­ci­mien­to, el nom­bre en la tar­je­ta e in­clu­so el nú­me­ro de se­gu­ri­dad de tres dí­gi­tos de la par­te pos­te­rior. Eso es in­for­ma­ción más que su­fi­cien­te pa­ra ha­cer que com­pras en lí­nea no au­to­ri­za­das pa­rez­can le­gí­ti­mas. Los es­ta­fa­do­res tam­bién pue­den ven­der los da­tos en los mer­ca­dos ne­gros en in­ter­net.

Al ins­ta­lar ra­nu­ras de tar­je­tas fal­sas o in­clu­so ac­ce­so­rios adi­cio­na­les (lla­ma­dos skim­mers), los ata­can­tes pue­den leer la in­for­ma­ción de las ban­das mag­né­ti­cas. Eso pue­de ayu­dar­les a ha­cer du­pli­ca­dos de las tar­je­tas.

Un es­tu­dio re­cien­te en­con­tró que una cá­ma­ra tér­mi­ca tam­bién pue­de cap­tu­rar el PIN al iden­ti­fi­car las te­clas li­ge­ra­men­te ca­len­ta­das por­que fue­ron pre­sio­na­das por el usua­rio.

Es­pe­cí­fi­ca­men­te, los in­ves­ti­ga­do­res en­con­tra­ron que la exac­ti­tud de la de­tec­ción del PIN po­dría ser has­ta del 78% cuan­do los ras­tros del ca­lor se re­gis­tran no más allá de 30 se­gun­dos des­pués de la au­ten­ti­fi­ca­ción.

¿Se pue­den hac­kear?

Los ci­ber­cri­mi­na­les tie­nen va­rias op­cio­nes. Las en­vol­tu­ras ex­ter­nas de ca­je­ros au­to­má­ti­cos a me­nu­do ocul­tan los puer­tos USB uti­li­za­dos pa­ra el man­te­ni­mien­to del soft­wa­re y la ac­tua­li­za­ción. Si un ata­can­te los lo­ca­li­za, pue­de in­ser­tar una uni­dad USB por­tá­til con un pro­gra­ma ma­li­cio­so ins­ta­la­do y así to­mar el con­trol de la má­qui­na. Eso esen­cial­men­te per­mi­te al ata­can­te dis­pen­sar efec­ti­vo sin usar una tar­je­ta.

Ha­ce unos años, cier­to ata­que se hi­zo po­pu­lar. Im­pli­ca­ba cor­tar agu­je­ros en la cu­bier­ta del ca­je­ro pa­ra des­co­nec­tar los ca­bles en­tre la compu­tado­ra y el me­ca­nis­mo que dis­tri­bu­ye el efec­ti­vo. Al co­nec­tar otra compu­tado­ra al sis­te­ma, se le da­ba la or­den de li­be­rar grandes can­ti­da­des de di­ne­ro.

La co­ne­xión de te­le­co­mu­ni­ca­cio­nes ofre­ce otro me­dio de ata­que. Al in­ter­cep­tar las co­mu­ni­ca­cio­nes en­tre la má­qui­na y el ban­co, un ata­can­te pue­de re­co­pi­lar da­tos úti­les de la tar­je­ta y de la cuen­ta.

Medidas de pro­tec­ción

Los clien­tes se ve­rán obli­ga­dos a uti­li­zar mé­to­dos de se­gu­ri­dad ca­da vez más avan­za­dos pa­ra iden­ti­fi­car­se en los ca­je­ros au­to­má­ti­cos. Un mé­to­do es la au­ten­ti­ca­ción de dos fac­to­res, que agre­ga una ca­pa adi­cio­nal de se­gu­ri­dad an­tes de per­mi­tir el acceso a una cuen­ta. Hay apli­ca­cio­nes que ge­ne­ran nue­vos có­di­gos ca­da po­cos se­gun­dos. Sin es­te có­di­go, un ata­can­te no pue­de ac­ce­der a la cuen­ta ban­ca­ria de la víc­ti­ma.

Es pro­ba­ble que los fu­tu­ros mé­to­dos de au­ten­ti­ca­ción de usua­rios en los ca­je­ros au­to­má­ti­cos im­pli­quen el uso de la bio­me­tría, co­mo las hue­llas dac­ti­la­res, que po­drían in­clu­so re­em­pla­zar a las tar­je­tas y al PIN que han com­par­ti­do los ban­cos y usua­rios du­ran­te los úl­ti­mos 50 años de banca au­to­ma­ti­za­da. •

PRI­MER USUA­RIO EN 1967

Newspapers in Spanish

Newspapers from Uruguay

© PressReader. All rights reserved.