En cajeros o en la web, dejan un perjuicio anual de US$300 millones
El skimming, dispositivo para clonar las bandas magnéticas, o el phishing, para “robar” datos personales, son las técnicas usuales; tecnologías viejas, sistemas débiles e imprudencia, factores decisivos
El riesgo de los fraudes con tarjetas de crédito y débito tanto en formato físico como virtual se ha convertido en una amenaza importante para los usuarios y para el sistema financiero. El costo de este tipo de delito global excederá los US$32.000 millones en 2021, según pronósticos de The Nilson Report, una consultora que investiga los sistemas de pago de todo el mundo. En la Argentina, en tanto, la “cifra negra” que manejan los expertos consultados por la nacion remite a una pérdida de más de 800.000 dólares por día.
Los cajeros automáticos desactualizados –campo fértil para el clonado y el robo de tarjetas– y la eventual vulnerabilidad de las apps y las páginas web de bancos y comercios son la puerta de entrada para fraudes como el skimming (que consta de la instalación de un dispositivo capaz de copiar los datos de la banda magnética y de una cámara que graba el tipeo de la clave) y el phishing (robo informático de datos que permite suplantar la identidad de un usuario).
En los últimos cinco meses, la Dirección General de Delitos Informáticos (DGDI) de la Policía de la Ciudad abrió 76 investigaciones por maniobras ilegales relativas al uso de tarjetas de débito y de crédito.
En 2016 el promedio mundial era de 54 cajeros automáticos cada 100.000 habitantes; en la Argentina es de 60. Además, un 44% de la población global cuenta con tarjeta de débito, según estadísticas del Banco Mundial. Esta proliferación de equipos disponibles de acceso público atrae a las organizaciones delictivas que se dedican a los fraudes bancarios. Además, casi todos los cajeros automáticos son PC que usan versiones muy antiguas de sistemas operativos, algunas, incluso, Windows XP. Según especialistas de Kaspersky Lab –una de las más conocidas empresas globales de seguridad informática– esto los hace vulnerables a todo tipo de ataques.
“La gran mayoría del hardware de los cajeros automáticos son viejos y no soportarían la instalación de un sistema operativo nuevo y más seguro”, explicó a la nacion Fabio Assolini, analista de seguridad senior de Kaspersky Lab. Los bancos aún usan sistemas operativos que ya no cuentan con el soporte técnico de su fabricante, Microsoft.
“Estos sistemas discontinuados son utilizados de manera masiva y están llenos de vulnerabilidades, lo que facilita el trabajo de los criminales”, continuó Assolini. Otro problema que detalla es el fácil acceso que tienen los cibercriminales a los puertos USB, cables y otras entradas de las máquinas detrás de los cajeros para llevar a cabo un ataque.
Acceso indebido
Según surge de las investigaciones de la DGDI, pequeñas cámaras espía, baterías de litio y tarjetas de memoria –todos objetos electrónicos de venta legal y fáciles de adquirir– se convierten en una combinación peligrosa en manos de organizaciones de fraude bancario.
Alejandro Fernández, inspector principal de la unidad, explicó que “los skimmers capturan los datos de las tarjetas de débito en los cajeros automáticos, conectando detrás de placas con orificios milimétricos dispositivos que logran filmar, registrar y guardar los números de la clave o el PIN. Además cuentan con lectores electrónicos que colocan sobre la ranura real para deslizar las tarjetas y de esa manera se almacenan los datos contenidos en la banda magnética”.
De las 127 investigaciones que lleva a cabo desde marzo de este año la división Defraudaciones y Estafas de la Policía de la Ciudad, el 60% son por maniobras con tarjetas.
“Este tipo de delitos es cometido muchas veces por extranjeros que llegan al país, ya que las leyes son más ‘amigables’ y es más difícil una posible condena –sostuvo el secretario de Seguridad porteño, Marcelo D’Alessandro–. Los que son detenidos rápidamente consiguen la libertad, ya que no tienen antecedentes en el país”.
Con plástico y sin plástico
Los millones que se pierden cada año erosionan las ganancias de los bancos y emisoras de tarjetas de crédito, amenazando la estabilidad financiera. Mientras algunos delitos implican para los criminales un riesgo real de ser descubiertos y detenidos, como en el skimming, en los que se realizan online, el anonimato de la web se convierte en una herramienta ideal para el fraude.
En 2017, el e-commerce en el país alcanzó los $136.000 millones, según un estudio realizado por la Cámara Argentina de Informática y Comunicaciones (Cicomra). Los comercios electrónicos enfrentan un desafío importante: la protección contra las violaciones de datos, en especial cuando se roba información de las tarjetas de crédito.
“El correo electrónico sigue siendo el medio de difusión más masivo para el phishing (captura de datos de terceros), tanto bancario como de empresas de ventas online”, sostuvo Santiago Vallés, director del Centro de Seguridad Informática del ITBA. El consumidor hace clic en un enlace incluido en el propio mail, que lo redireccionará a una página web ficticia que se verá como si fuese un sitio de internet legítimo, pero la URL será una variación de la correcta o una muy diferente.
Conocido como suplantación de identidad, el phishing describe el método usado por los piratas infor- máticos para adquirir, de forma no autorizada, información confidencial del usuario, como ser los datos de la tarjeta de crédito, la tarjeta de coordenadas y más información útil para el acceso al home banking.
“Es muy difícil que la gente recuerde cuándo ocurrió el phishing por la hiperacción que tenemos con el celular”, continuó Vallés. Puede que nunca haya una forma garantizada de frustrar a los criminales informáticos, pero algunas soluciones complican la extracción fraudulenta de datos, como ser las tarjetas con chip integrado, las tarjetas de crédito desechables y la tecnología de aproximación o NFC (solo se acerca la tarjeta a una terminal posnet para pagar y nunca se la entrega al vendedor).
Más allá de esto, el especialista Gustavo Saín dijo a la nacion que el fraude bancario también se da por
internet no solo por impericia del usuario, sino también por las vulnerabilidades de seguridad que poseen las bases de datos de las entidades bancarias o empresas.
“Existen muchos casos donde se hackean los servidores y los ciberdelincuentes se alzan con miles de números de cuentas bancarias y de tarjetas de crédito con sus claves. En esto los usuarios no poseen ninguna responsabilidad”, concluyó.