Pescar y clonar: así funcionan los principales fraudes con tarjeta

Uno de cada cinco delitos se comete en Internet. ¡Uno de cada cinco! Su volumen y gravedad son tales que el Ministerio de Interior incluso ha creado una web específica que lleva el mismo nombre. De hecho, aunque la cifra de crímenes netamente cibernéticos sea del 20% sobre el total, en realidad, “prácticamente cualquier delito actual hace algún tipo de uso de las tecnologías de la información”, nos advirtió el inspector jefe de Policía Nacional, Diego Alejandro Palomino, durante el reciente el Foro Ciberseguridad organizado por Retina.

Ya hemos hablado de cómo los hackers idean todo tipo de estrategias para explotar la Red en su beneficio y, dado que su pérfida ciberamenaza acecha prácticamente en cualquier esquina, incluso han encontrado elementos del mundo real que pueden utilizar como vía de entrada para sus fechorías informáticas: nuestras tarjetas de crédito y débito, esos trozos de plástico que tan fielmente guardamos en nuestras carteras, se han convertido en una de sus principales puertas de entrada para robarnos.

“Existe una serie de delitos relacionados con tarjetas de pago, cajeros y sistemas de pago como terminales de punto de venta. La prevalencia de los pagos en línea ha supuesto un gran impulso para los delincuentes al abrirles un abanico de nuevas posibilidades”, advierte la Interpol. Entre otras cosas, explica: “Además del robo de tarjeta, los delincuentes utilizan varios métodos para capturar los datos […]. A menudo las personas solo se dan cuenta de la sustracción de los datos de su tarjeta cuando ya es demasiado tarde. Estos datos pueden servir para fabricar tarjetas falsas o utilizarse posteriormente para cometer fraudes sin presencia física de tarjeta”.

Con esta explicación, la agencia policial resume las dos grandes categorías en las que se dividen los fraudes con tarjetas: los que utilizan los datos robados para hacer una falsificación de la tarjeta (un clon) y operar con ella físicamente, y los que simplemente utilizan dichos datos para cometer delitos a través Internet. Si lo piensa, en realidad hacen lo mismo que nosotros: mientras que en las transacciones en comercios (salvo que utilicemos algún dispositivo sin contacto vinculado a la tarjeta) y cajeros automáticos requieren la tarjeta física, para hacer pagos online o telefónicos únicamente hace falta la información que contiene, el trozo de plástico no es necesario.

Así que, dado que cada vez realizamos más compras a través de Internet, no sorprende que los fraudes que no dependen de un clon de la tarjeta física sean los más comunes y los que más han crecido en los últimos años. En 2016 representaron el 77% de todos los fraudes con tarjeta ocurridos en la Zona Única de Pagos en Euros (SEPA), frente 20% de los que tuvieron lugar en puntos de venta y al 3% ocurridos en cajeros automáticos. En 2021 aumentaron hasta el 87%, haciendo descender a los otros dos hasta un 12% y un 1%, respectivamente, según el Informe sobre el fraude con tarjetas 2020 y 2021 del Banco Central Europeo (BEC).

LO IMPORTANTE SON LOS DATOS

Independientemente de si el fraude se realiza con una tarjeta falsa clonada o simplemente con su información asociada, la clave está en los datos. Y, por supuesto, los hackers han inventado infinidad de técnicas para hacerse con ellos, desde sofisticados aparatos tecnológicos capaces de acceder a la información hasta burdos juegos psicológicos para que nosotros mismos la compartamos. Según la Asociación de Transacciones Seguras de la UE, existen dos fuentes principales para el origen de los fraudes con tarjeta: la ingeniería social, que consiste en distintos tipos de trucos manipulatorios para lograr que el usuario ceda su información, y el compromiso de datos, que utiliza diversos enfoques tecnológicos para robar la información sin que nos enteremos.

A continuación, detallamos algunos de los más comunes:

Skimming: “Este término proviene del inglés, to skim (leer rápidamente u hojear), por lo que los delincuentes cuentan con diferentes dispositivos, conocidos como skimmers, para apropiarse de los datos sin que la víctima se dé cuenta. Generalmente, se lleva a cabo al realizar transacciones en un cajero automático o pagar en un terminal de punto de venta (TPV) manipulado previamente”, explican desde Banco Santander. Entre los métodos más utilizados para perpetrar un skimming, la entidad destaca los siguientes:

• Dispositivo externo diseñado para que copie los datos de la banda magnética de la tarjeta.
• Lector de tarjeta o teclado fraudulento superpuesto en los terminales para capturar los datos.
• Dispositivo incorporado en el interior de los terminales de pago para capturar los datos del chip.
• Cámara oculta en los cajeros automáticos para grabar las transacciones y las claves de las tarjetas.
• Programa malicioso (malware) instalado en los terminales de pago para robar los datos de la tarjeta y realizar transacciones.

Phishing: otro término de origen inglés procedente de fishing, que literalmente significa pescar, y alude a los distintos cebos que los ciberdelincuentes utilizan para convencer a los usuarios de que cedan los datos de sus tarjetas. Desde Banco Santander explican: “Se hacen pasar por una empresa, institución o servicio conocido y con buena reputación para engañarte y conseguir robar tus datos privados, credenciales de acceso o datos bancarios. Esta práctica fraudulenta se apoya en la ingeniería social, es decir, su éxito se basa en la confianza que tienes en la empresa o institución que está siendo suplantada”.

La entidad añade: “Muchos son los servicios que se han visto afectados por el phishing, desde instituciones públicas como la Agencia Tributaria y Servicio de Correos y Telégrafos, pasando por Fuerzas y Cuerpos de Seguridad del Estado como la Policía o la Guardia Civil hasta empresas privadas” de todo tipo de sectores. Entre las formas más comunes de realizar un phishing destacan las siguientes:

• Vía web: los hackers crean páginas o perfiles en redes sociales, generalmente de venta de productos y servicios conocidos a precios muy baratos para seducir al usuario y animarle a realizar una compra con la que obtendrán sus datos.
• Vía correo electrónico: envían un e-mail de aspecto fidedigno junto a un enlace fraudulento que redirigirá a una web donde se intentará llevar a cabo el robo de los datos. En muchas ocasiones el engaño gira en torno a un paquete pendiente de entrega o a un premio.
• Vía SMS: similar al correo electrónico, pero a través de un mensaje de texto. Recibe el nombre específico de smishing.
• Vía telefónica: los ciberdelincuentes se hacen pasar por organizaciones con las que el usuario tiene alguna relación, su compañía de suministro energético o telefónico, su banco, etcétera e inventan alguna excusa para que el usuario comparta sus datos.

Ya sea mediante ingeniería social o con herramientas y técnicas puramente tecnológicas, lo que está claro es que estos criminales les sobran las artimañas para hacerse con los datos de nuestras tarjetas. Una vez que los tienen, pueden usarlos para “realizar compras, contratar servicios o retirar dinero, entre otras transacciones, así como vender la información en el mercado negro para que sea un tercero quien materialice el fraude”, explican desde Banco Santander.

Por supuesto, cuanto mayores sean los importes robados y más robos cometan, más fácil y rápido será que el usuario se dé cuenta del fraude y lo reporte. Por eso, los ciberdelincuentes también han ideado una técnica conocida como carding, que, según Openbank, “consiste en limitar sus fraudes a pequeñas compras en comercios, establecimientos de comida rápida, de productos de belleza. La mayoría de estas compras suelen ser online y/o telefónicas. Se trata de compras por importes pequeños, que no superan los 90 euros, pero que se realizan de forma secuencial. Hay incluso quienes contratan suscripciones a canales de streaming y similares. El objetivo es que estos pagos pasen desapercibidos para el usuario durante el mayor tiempo posible”.

ANTE TODO, DESCONFÍE

La principal medida de seguridad a la que los usuarios deben acogerse para minimizar sus probabilidades de acabar siendo víctimas de este tipo de fraudes es la desconfianza, especialmente en el caso del phishing. Desde Banco Santander, ofrecen los siguientes consejos:

1. Averigüe siempre quién le envía los correos electrónicos. Si no conoce al remitente o el dominio no coincide con la empresa o servicio que dice ser puedes estar ante un caso de phishing. Por ejemplo, si recibes un correo en nombre del Santander, y el domino del e-mail no incluye el nombre del banco, es sospechoso. De la misma forma que también lo es si el correo que utiliza un servicio de correo gratuito como Gmail, Outlook, Yahoo!, etcétera.
2. Desconfíe de asuntos alarmistas: el asunto suele ser muy llamativo o solicitar alguna acción de manera urgente. Algunos ejemplos que pueden ayudarle: “Tiene un mensaje nuevo de seguridad”, “Detectados movimientos sospechosos”, “Eliminación de cuentas inactivas”, “Ha recibido una notificación”, “Tienes un paquete esperando”, etcétera.
3. Fíjese en la redacción y ortografía: los correos de phising suelen tener frases mal construidas o sin sentido, palabras con símbolos o caracteres extraños, faltas de ortografía, etcétera. Cualquier servicio con buena reputación se asegurará de que tanto la estructura y diseño del correo como su contenido sea correcto, ya que la imagen que se trasmite a los usuarios es un aspecto muy importante para cualquier servicio que se precie. Pero los ciberdelincuentes también van mejorando sus prácticas, así que, ante un mensaje sospechoso con una perfecta redacción, asegúrese de haber verificado el resto de las pistas antes de darlo por bueno.
4. Busque signos de personalización: un mensaje de phishing está poco o nada personalizado. Comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, son indicios que deben poner alerta. Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado que pueda saber el nombre de todas ellas. Por eso utilizan fórmulas genéricas como las mencionadas.
5. Desconfíe cuando soliciten sus datos personales o bancarios: ya sean llamadas o correos electrónicos que soliciten su firma electrónica completa, no es común solicitar datos a través de estas vías por el riesgo que implican los fraudes y estafas.
6. Antes de hacer clic, fíjese en la dirección del enlace: la intención de los delincuentes es que pinche en un vínculo que le dirija un sitio web fraudulento en lugar de a la página legítima. Por tanto, es importante comprobar que el enlace es fiable. Para ello, sitúe el puntero del ratón encima del botón o del enlace y observe la dirección que se muestra en la parte inferior izquierda del navegador o de tu cliente de correo. Si lo que ve es sospechoso, ¡no haga clic!
7. No descargue ficheros sin fijarse en la extensión: si el mensaje que recibe le invita a descargar un fichero que, curiosamente, tiene más de una extensión, algo como “nombredelfichero.doc.zip”, o se trata de un fichero comprimido (.zip) o un ejecutable (.exe), no se le ocurra descargarlo o es más que probable que sus dispositivos acaben infectados. En cualquier caso, si confía en la fuente y opta por la descarga del fichero, analícelo siempre con un antivirus antes de abrirlo y ejecutarlo.

Estas pautas son muy útiles para cualquier actividad que realicemos online o telefónicamente, pero no sirven de mucho en los casos de skimming. Para esta situación, la entidad recomienda:

1. No pierda de vista su tarjeta: lo más importante es que, cuando vaya a realizar transacciones en el cajero automático o a pagar en un restaurante, supermercado o cualquier otro comercio, siempre pueda ver dónde es introducida tu tarjeta. Así evitará que se use en un dispositivo fraudulento. Si es usted mismo quien la manipula, mucho mejor.
2. Sea prudente con sus claves: no comparta el PIN de su tarjeta con nadie, ni lo anote o guarde en su teléfono, pues podría caer en manos malintencionadas. Además, cubra siempre el teclado con la otra mano cuando introduzca la clave en el cajero automático o en el TPV para evitar que alguien la vea.
3. Verifique el estado de los dispositivos: revise si hay elementos extraños en el cajero automático o el terminal de pago, como teclados o ranuras sobrepuestas. Además, asegúrese de que no haya signos de alteración en los dispositivos ni que alguna de sus partes esté suelta, parezca manipulada o contenga rastros de pegamento, por ejemplo.
4. Evite lugares oscuros o aislados: si hay un cajero automático o punto de pago con poca iluminación trate de buscar otro, pues los delincuentes aprovechan estos escenarios para usar sus dispositivos fraudulentos.
5. Configure su tarjeta: las bancas digitales suelen permitir cosas como encender o apagar una tarjeta, activar o desactivar las opciones de pago sin contacto o compras por Internet, y limitar la retirada de dinero o el uso fuera de su país.
6. Active las notificaciones: una forma de estar al día con todos los movimientos de sus tarjetas es a través de las notificaciones en el teléfono móvil. Así, ante cualquier transacción fraudulenta, podrá reaccionar de forma más rápida.
7. Revise periódicamente tus extractos: verifique que las transacciones concuerdan con el uso que ha dado a sus tarjetas. Así podrá identificar si existe algún tipo de cobro o retirada de dinero en efectivo no autorizada.

Además de todas las medidas y prácticas de seguridad que ya debería estar siguiendo a rajatabla, la buena noticia es que los expertos en ciberseguridad y responsables públicos también continúan diseñando barreras de contención para reducir este tipo de ciberdelitos. De hecho, en 2021 el valor de los fraudes de tarjeta en la SEPA fue “el más bajo desde que el Eurosistema empezó a recopilar esta información de las redes de pago con tarjeta en 2008”, celebra el informe del BEC mencionado anteriormente.

El organismo afirma: “El fuerte descenso del fraude sin tarjetas en las operaciones realizadas dentro de la SEPA en 2021 apunta a un impacto beneficioso de las Normas Técnicas Reglamentarias para la autenticación robusta de clientes y los estándares abiertos de comunicación comunes y seguros en virtud de la Directiva revisada sobre servicios de pago de la UE (PSD2). La aplicación en todo el mercado de estas normas de seguridad mejoradas por parte de los proveedores de servicios de pago antes del 31 de diciembre de 2020 parece haber aumentado notablemente la seguridad de las operaciones”.

Puede respirar un poco más tranquilo sabiendo que prácticamente todo el espectro del lado del bien intenta protegerle de estas pérfidas amenazas. Pero, no se confíe, ante los lucrativos botines con los que pueden llegar a hacerse, como los más de 1.500 millones de euros en operaciones fraudulentas con tarjeta que se produjeron en la SEPA en 2021, los ciberdelincuentes siempre van a estar al acecho, en busca de cualquier forma de estafarle. Si no quiere caer en sus redes como en el timo de la estampita, más le vale empezar a ser más desconfiado. Es por su bien.