Los pequeños dispositivos llamados skimmers y los aún más insidiosos shimmers pueden robar fácilmente la información de tus tarjetas de crédito y débito al pasarlas por el lector. A continuación te explicamos cómo protegerte de estos ataques poco frecuentes, pero desagradables.
Recuerdo perfectamente el momento en que me di cuenta de lo lamentablemente inseguras que son las tarjetas de crédito y débito. Vi cómo alguien cogía un lector de banda magnética USB y lo conectaba a un ordenador, que lo reconocía como un teclado. Abrieron un procesador de textos y pasaron la tarjeta. Una serie de números aparecieron obedientemente en el archivo de texto. Ya estaba: La información de la tarjeta había sido robada.
Esa misma tecnología ha madurado y se ha miniaturizado. En los cajeros automáticos y terminales de pago pueden instalarse diminutos «skimmers» que extraen los datos de la banda magnética de la tarjeta (llamada «magstripe»). En los lectores de tarjetas se instalan «skimmers» aún más pequeños para atacar los chips de las tarjetas más recientes. Ahora existe también una versión digital llamada e-skimming, que hurta los datos de los sitios web de pago. Afortunadamente, hay muchas formas de protegerse de estos ataques.
¿Qué son los skimmers?
Los skimmers son pequeños lectores de tarjetas maliciosos ocultos dentro de lectores de tarjetas legítimos que recopilan datos de cada persona que pasa su tarjeta. Después de dejar que el hardware sorba los datos durante algún tiempo, un ladrón se pasará por la máquina comprometida para recoger el archivo que contiene todos los datos robados. Con esta información, puede crear tarjetas clonadas o simplemente cometer un fraude. Tal vez lo más aterrador sea que los skimmers no suelen impedir el correcto funcionamiento del cajero automático o del lector de tarjetas de crédito, lo que dificulta su detección.
Entrar en los cajeros automáticos es difícil, por lo que los skimmers a veces se colocan sobre los lectores de tarjetas existentes. La mayoría de las veces, los atacantes también colocan una cámara oculta en algún lugar cercano para grabar los números de identificación personal, o PIN, utilizados para acceder a las cuentas. La cámara puede estar en el lector de tarjetas, montada en la parte superior del cajero automático o incluso en el techo. Algunos delincuentes llegan incluso a instalar teclados PIN falsos sobre los teclados reales para capturar el PIN directamente, sin necesidad de una cámara.
Esta foto es un skimmer real en uso en un cajero automático. ¿Ves esa parte amarilla, rara y voluminosa? Es el skimmer. Éste es fácil de detectar porque tiene un color y un material diferentes a los del resto de la máquina, pero hay otros signos reveladores. Debajo de la ranura donde se introduce la tarjeta hay flechas en relieve en la carcasa de plástico de la máquina. Puedes ver cómo las flechas grises están muy cerca de la carcasa amarilla del lector, casi superpuestas. Eso es señal de que se ha instalado un skimmer sobre el lector existente, ya que el lector de tarjetas real tendría algo de espacio entre la ranura de la tarjeta y las flechas.
Los fabricantes de cajeros automáticos no se han dado por vencidos ante este tipo de fraude. Los cajeros más nuevos cuentan con sólidas defensas contra la manipulación, que a veces incluyen sistemas de radar destinados a detectar objetos insertados o adheridos al cajero. Sin embargo, en la conferencia de seguridad Black Hat, un investigador consiguió utilizar el radar integrado en un cajero automático para capturar los números PIN como parte de una elaborada estafa.
¿Siguen siendo una amenaza los skimmers?
Mientras investigábamos la actualización de este artículo, nos pusimos en contacto con Kaspersky Labs, y los representantes de la empresa nos dijeron algo sorprendente: los ataques de skimming estaban disminuyendo. «El skimming era y sigue siendo una práctica poco habitual», afirma el portavoz de Kaspersky.
El representante de Kaspersky citó las estadísticas de la Asociación Europea para la Seguridad de las Transacciones (EAST) como indicativo de una tendencia menor. La EAST informó de un mínimo histórico de ataques de skimmer, pasando de 1.496 incidentes en abril de 2020 a 321 incidentes en octubre del mismo año. Puede que los efectos de COVID-19 tengan algo que ver con ese descenso, pero no deja de ser dramático.
Por supuesto, eso no significa que haya desaparecido el skimming. En enero de 2021 se descubrió una importante estafa de skimming en Nueva Jersey. Los delincuentes atacaron a más de 1.000 clientes bancarios e intentaron hacerse con más de 1,5 millones de dólares.
De los Skimmers a los Shimmers
Cuando los bancos estadounidenses se pusieron por fin al día con el resto del mundo y empezaron a emitir tarjetas con chip, supuso una gran ayuda para la seguridad de los consumidores. Estas tarjetas con chip, o tarjetas EMV, ofrecen una seguridad más sólida que las dolorosamente sencillas bandas magnéticas de las antiguas tarjetas de pago. Pero los ladrones aprenden rápido y han tenido años para perfeccionar los ataques en Europa y Canadá contra las tarjetas con chip.
En lugar de los skimmers, que se sitúan encima de los lectores de banda magnética, los shimmers están dentro de los lectores de tarjetas. Son dispositivos muy, muy finos y no se ven desde fuera. Al introducir la tarjeta, el shimmer lee los datos del chip de la tarjeta, del mismo modo que un skimmer lee los datos de la banda magnética de la tarjeta.
Sin embargo, hay algunas diferencias clave. Por un lado, la seguridad integrada del EMV significa que los atacantes sólo pueden obtener la misma información que obtendrían con un skimmer. En su blog, el investigador de seguridad Brian Krebs explica que «aunque los datos que suelen almacenarse en la banda magnética de una tarjeta se reproducen dentro del chip en las tarjetas con chip, éste contiene componentes de seguridad adicionales que no se encuentran en la banda magnética». Esto significa que los ladrones no podrían duplicar el chip EMV, pero sí utilizar los datos del chip para clonar la banda magnética o usar su información para algún otro fraude.
El representante de Kaspersky con el que hablamos fue inequívoco en su confianza en las tarjetas con chip. «EMV todavía no está obsoleto». Añadió, «Los únicos hackeos de EMV que han tenido éxito son en condiciones de laboratorio».
El verdadero problema es que los shimmers se esconden dentro de las máquinas víctimas. El shimmer que se muestra a continuación fue encontrado en Canadá y denunciado a la RCMP. Es poco más que un circuito integrado impreso en una fina lámina de plástico.
Comprobación de manipulaciones
Comprobar si un dispositivo de punto de venta ha sido manipulado puede resultar difícil. La mayoría de nosotros no estamos en la cola del supermercado el tiempo suficiente para darle un buen repaso al lector. También es más difícil para los ladrones atacar estas máquinas, ya que no se dejan desatendidas. En cambio, los cajeros automáticos suelen dejarse sin vigilancia en vestíbulos o incluso al aire libre, lo que los convierte en objetivos más fáciles.
Aunque la mayor parte de este artículo trata sobre los cajeros automáticos, ten en cuenta que las gasolineras, las estaciones de pago para el transporte público y otras máquinas desatendidas también son propicias para los ataques. Nuestros consejos también son válidos en estas circunstancias.
Cuando te acerques a un cajero automático, comprueba si hay signos evidentes de manipulación en la parte superior del cajero, cerca de los altavoces, el lateral de la pantalla, el propio lector de tarjetas y el teclado. Si algo parece distinto, como un color o material diferente, gráficos que no están alineados correctamente o cualquier otra cosa que no parezca correcta, no utilices ese cajero.
Si estás en el banco, es una buena idea echar un vistazo rápido al cajero que está junto al tuyo y compararlos. Si hay diferencias evidentes, no utilices ninguno de los dos; en su lugar, informa a tu banco de la manipulación sospechosa. Por ejemplo, si un cajero tiene una entrada de tarjeta que parpadea para indicarte dónde debe insertar la tarjeta y el otro cajero tiene una ranura simple, sabrá que algo va mal. La mayoría de los skimmers se pegan encima del lector existente y ocultan el indicador intermitente.
Si el teclado no le parece correcto -demasiado grueso o descentrado, tal vez-, es posible que haya una superposición para robar el PIN. No lo utilices. Busca otros signos de manipulación, como agujeros que puedan ocultar una cámara o burbujas de pegamento procedentes de una intervención quirúrgica precipitada.
Aunque no veas ninguna diferencia visual, fíjate bien en todo. Los cajeros automáticos están sólidamente construidos y no suelen tener piezas sueltas. Los lectores de tarjetas de crédito tienen más variaciones, pero aun así: tira de las partes que sobresalen, como el lector de tarjetas. Comprueba si el teclado está bien sujeto y es de una sola pieza. Si algo se mueve cuando lo empujas, preocúpate.
Toma precauciones al operar en cajeros
Siempre que introduzcas el PIN de una tarjeta de débito, supón que hay alguien mirando. Tal vez por encima de tu hombro o a través de una cámara oculta. Aunque el cajero automático o la máquina de pago parezcan estar bien, cúbrete la mano al introducir el PIN. Obtener el PIN es esencial. Sin él, los delincuentes ven limitado lo que pueden hacer con los datos robados.
Los delincuentes suelen instalar skimmers en cajeros automáticos que no están situados en lugares demasiado concurridos, ya que no quieren que se les observe instalando hardware malicioso o recopilando los datos recogidos (aunque siempre hay excepciones). Los cajeros automáticos de interior suelen ser más seguros que los de exterior, ya que los atacantes pueden acceder a ellos sin ser vistos. Detente y considera la seguridad del cajero automático antes de utilizarlo.
Siempre que sea posible, no utilices la banda magnética de tu tarjeta para realizar transacciones. La mayoría de los terminales de pago utilizan ahora la banda magnética como alternativa y te pedirán que introduzcas el chip en lugar de pasar la tarjeta. Si el terminal de la tarjeta de crédito acepta transacciones NFC, considera la posibilidad de utilizar Apple Pay, Samsung Pay o Android Pay.
Estos servicios de pago sin contacto tokenizan la información de tu tarjeta de crédito, por lo que tus datos reales nunca quedan expuestos. Si un delincuente intercepta de algún modo la transacción, sólo obtendrá un número de tarjeta de crédito virtual inútil. Algunos dispositivos Samsung pueden emular una transacción con banda magnética a través del teléfono. Esta tecnología se llama MST, pero ya ha dejado de utilizarse.
Una situación que suele requerir el uso de la banda magnética es el pago de combustible en un surtidor. En ellos abundan los ataques, porque muchos aún no admiten transacciones EMV o NFC, y porque los atacantes pueden acceder a los surtidores sin ser detectados. Es mucho más seguro entrar y pagar al cajero. Si no hay un cajero de guardia, sigue los mismos consejos para usar cajeros automáticos e investiga el lector de tarjetas antes de utilizarlo.
De los skimmers a los shimmers y a los e-skimmers
No es sorprendente que exista un equivalente digital llamado e-skimming. Al parecer, el pirateo de British Airways de 2018 se basó en gran medida en este tipo de tácticas.
Como explicó Bogdan Botezatu, Director de Investigación e Informes de Amenazas de Bitdefender, el e-skimming se produce cuando un atacante inserta un código malicioso en un sitio web de pago que arrebata la información de la tarjeta.
«Estos e-skimmers se añaden comprometiendo las credenciales de la cuenta del administrador de la tienda online, el servidor de alojamiento web de la tienda, o comprometiendo directamente al [proveedor de la plataforma de pago] para que distribuya copias adulteradas de su software», explicó Botezatu. Esto es similar a una página de phishing, salvo que la página es auténtica: el código de la página ha sido manipulado.
«Los ataques de e-skimming son cada vez más expertos en eludir la detección», afirma Botezatu. «Cuanto más tiempo mantenga un atacante este punto de apoyo, más tarjetas de crédito podrá conseguir».
Combatir este tipo de ataques depende en última instancia de las empresas que gestionan estas tiendas. Sin embargo, hay algunas cosas que los consumidores pueden hacer para protegerse. Botezatu sugirió a los consumidores que utilicen en sus ordenadores programas de seguridad que, según él, pueden detectar códigos maliciosos e impedir que se introduzca la información.
También puedes evitar introducir los datos de tu tarjeta de crédito con tarjetas de crédito virtuales. Se trata de números de tarjeta de crédito ficticios que están vinculados a tu cuenta de tarjeta de crédito real. Si una de ellas se ve comprometida, no tendrás que obtener una nueva tarjeta de crédito, sólo generar un nuevo número virtual. Algunos bancos, como Citi, ofrecen esta función, así que pregunta en el tuyo si está disponible. Si no puedes conseguir una tarjeta virtual de un banco, Abine Blur ofrece tarjetas de crédito enmascaradas a los abonados, que funcionan de forma similar. Apple Pay y Google Pay también se aceptan en algunos sitios web.
Otra opción es inscribirte en las alertas de tarjetas. Algunos bancos enviarán una alerta push a tu teléfono cada vez que se utilice tu tarjeta de débito. Esto es útil, ya que puedes identificar inmediatamente las compras falsas. Si tu banco ofrece una opción similar, prueba a activarla. Las aplicaciones de finanzas personales como Mint.com pueden facilitarte la tarea de ordenar todas tus transacciones.
Mantente alerta
Aunque lo hagas todo bien y revises cada centímetro de cada máquina de pago que encuentres (para disgusto de la gente que está detrás de ti en la cola), puedes ser objeto de fraude. Pero anímate: Siempre que denuncies el robo al emisor de tu tarjeta (en el caso de las tarjetas de crédito) o al banco (donde tengas tu cuenta) lo antes posible, no se te considerará responsable. Te devolverán el dinero. Los clientes comerciales, en cambio, no tienen la misma protección legal y puede que les cueste más recuperar su dinero.
Además, intenta utilizar una tarjeta de crédito si te resulta conveniente. Una transacción de débito es una transferencia inmediata de efectivo y a veces puede llevar más tiempo corregirla. Las transacciones con tarjeta de crédito pueden detenerse y anularse en cualquier momento. Esto presiona a los comerciantes para que mejoren la seguridad de sus cajeros automáticos y terminales de puntos de venta. Sin embargo, el uso excesivo del crédito tiene sus propias trampas, así que hay que tener cuidado.
Por último, presta atención a tu teléfono. Los bancos y las compañías de tarjetas de crédito suelen tener políticas muy activas de detección del fraude y se pondrán inmediatamente en contacto contigo, normalmente por teléfono o SMS, si detectan algo sospechoso. Responder con rapidez puede significar detener los ataques antes de que puedan afectarte, así que ten el teléfono a mano.
Pero recuerda: si algo no te parece bien en un cajero automático o en un lector de tarjetas de crédito, no lo utilices. Siempre que puedas, utiliza el chip en lugar de la banda de tu tarjeta. Tu cuenta bancaria te lo agradecerá.