La capacidad de distribuir el procesamiento de datos simultáneamente en muchos computadores del internet, los actuales esquemas unitarios o aislados de seguridad informática y el poco aprovechamiento de recursos biométricos, han dado origen a la Clonación virtual de tarjetas de crédito.
1. Fraude cibernético. Clonación virtual de tarjetas de crédito.
La capacidad de distribuir el procesamiento de datos simultáneamente en muchos
computadores del internet, los actuales esquemas unitarios o aislados de seguridad
informática y el poco aprovechamiento de recursos biométricos, han dado origen a la
Clonación virtual de tarjetas de crédito.
Hace unos meses mi esposa, empezó a detectar consumos extraños en una de sus tarjetas de
crédito con chip (montos relativamente pequeños en establecimientos locales), volviéndose
estos cada vez más frecuentes.
Como era posible, si siempre estamos pendientes de las diversas modalidades de fraude o
engaño que se pueden producir al usar una tarjeta de crédito y ella nunca descuida la misma,
además la tarjeta en mención solo la utilizaba en las cajas de los supermercados.
Al realizar las averiguaciones en la entidad bancaria, nos dimos con la sorpresa que los
consumos extraños, siempre se daban en la modalidad de compra por internet, es decir a
través de las tiendas virtuales que ahora existen por cientos de miles en todo el mundo.
Pero como era posible ello, si la tarjeta siempre estaba en su poder y para realizar compras por
Internet hay que ingresar un código denominado CVV de tres dígitos, que por lo general viene
al reverso de la tarjeta y que no es clonable, pues solo está a conocimiento del portador y no
forma parte de las señales impresas, banda magnética o chip incorporado.
Rastreando un poco de literatura especializada me encontré con esta investigación publicada
por la prestigiosa revista journal IEEE Security & Privacy "Distributed Attack Graph Generation"
(ver: https://www.computer.org/csdl/trans/tq/2016/05/07087377-abs.html) y muy bien
también en https://techxplore.com/news/2016-12-seconds-hack-credit-card.html
En resumen en ambos artículos, enfrentan la realidad de que se pueden identificar todos los
códigos de una tarjeta de crédito o débito, disponiéndose con ello de información suficiente,
para realizar compras por Internet, es decir se ha logrado una clonación virtual de la tarjeta,
este proceso está basado en técnicas de prueba – error, al difundir datos en una lista finita de
sitios web que sin saberlo se prestan para tal propósito.
La manera como estos cibercriminales, actúan para poder identificar todos los códigos de una
tarjeta de crédito es conociendo los siguientes aspectos:
2. Identificar sitios web a nivel mundial, que implementen pasarela de pago en línea,
mediante tarjetas de crédito o débito, con consultas intermedias de datos es decir
identificando errores cometidos al ingresar datos para que el usuario los pueda corregir.
Reconocer que las tarjetas de crédito o débito solo requieren de tres valores para solicitar
un cargo de pago a su cuenta a través de compras en Internet; (1) El número de tarjeta,
(2) El mes y año de vencimiento y (3) El código CVV (código de seguridad de tarjeta), este
último solo de conocimiento del portador.
Haber reconocido que el modelo de seguridad actual de compras por Internet, no detecta
múltiples solicitudes de pago no válidos con el mismo número de tarjeta en diferentes
sitios web, pues los niveles de seguridad solo están basados en no vulnerar el acceso a
través de un solo sitio web de pago.
Establecidas las condiciones anteriores, ahora el reto de los cibercriminales está en poder
identificar cada uno de los códigos de la tarjeta y para ello proceden bajo la siguiente lógica:
Los números de identificación de una tarjeta de crédito, son muy fáciles de obtener pues
son visibles, una simple fotocopia, foto o video sería suficiente para obtenerlo, pero
además siguen ciertos patrones; según la región, los emisores u otros criterios de
agrupamiento. Esto último permitiría una vez constituido el número de la tarjeta lanzarlo
a un portal de pago en línea y esperar la respuesta de su vigencia.
Con el número de tarjeta vigente identificado, el siguiente valor a obtener es el mes y año
de caducidad, el cual lo mismo que en el caso del número de identificación de la tarjeta,
muchas veces es visible. Pero este valor también podría ser obtenido, si ejecutamos un
algoritmo de combinaciones a través de un robot de automatización de envió/recepción
de datos, y para ello solo bastaría 60 intentos (combinaciones; año-mes) pues por lo
general los emisores, normalmente emiten las tarjetas en periodos de vencimiento no
mayores a 60 meses.
Finalmente identificar el código de seguridad de la tarjeta (CVV), donde las combinaciones
solo son de 1000 posibilidades (desde el valor 000 al 999), y en conjunto a los dos valores
anteriormente ya encontrados, y nuevamente aplicando la automatización de un robot de
envió/recepción de datos en una lista finita de sitios web con pasarelas de pago, es muy
probable completar la identificación de todos los códigos de una tarjeta válida para
realizar compras a través de Internet.
La posibilidad de cometer este tipo de fraude cibernético, empleado la “Clonación virtual de
tarjetas de crédito o débito”, para realizar compras a través de Internet, está basado en la
vulnerabilidad de los actuales niveles de seguridad, permisibles en los sistemas de control de
emisores de dichas tarjetas, los cuales solo se centran en asegurar lo que ocurra en cada una
de las pasarelas de pago las cuales en promedio permiten hasta 10 intentos fallidos, antes de
bloquear el origen de la solicitud (computadora, laptop o teléfono) desde donde se invoca la
validación de códigos y se olvidan de la red internet en su conjunto.
Bajo las condiciones descritas anteriormente solo se requeriría en promedio de unos 150 sitios
webs con pasarelas de pago y un máximo de 9 intentos por cada sitio, para lograr cubrir 1350
combinaciones distribuidas a nivel mundial, que no generan sospechas de fraude, pero que si
3. permiten obtener los códigos de una tarjeta de crédito o débito, que posteriormente será
empleada para cometer fraude cibernético.
Por ello no está demás tomar las siguientes precauciones y evitar las molestias de estar
reclamando o peor aún quedarse con deudas que no generamos.
No permitir que fotocopia, fotografiar o que tomen un video de su tarjeta de crédito pues
en los datos impresos ya están dos de estos códigos.
No enviar referencias de códigos de la tarjeta de crédito o datos personales a través de
correos no encriptados.
No realizar compras a través de sitios no conocidos o que no presenten niveles de
seguridad mínimos (SSL), para ello hay que asegurarse que el sitio web parte de una
dirección Web que inicie con las siglas https://... y se vea la imagen de un candado
cerrado.
No realizar compras a través de WI- FI o conexión a Internet pública (cabinas o cibercafés),
pues los datos son fácilmente interceptados.
Preferir usar para compras en internet las tarjetas de crédito a las de débito, por los
niveles de cobertura ofrecidos y sobre todo no comprometen nuestro efectivo disponible,
frente a una venta fraudulenta.
Si su tarjeta es de chip, tiene que ser ingresada solamente en el POS, Nunca pasada por la
banda magnética.
De modo alternativo vale la pena emplear otros medios de pago como: Tarjetas de
compra virtuales (PayPal, 2Checkout, u otros), Trustly (transferencia bancaria directa) o el
tradicional y aún muy empleado Pago contra-reembolso.
Y sobre todo acostumbremos a revisar y validar periódicamente los movimientos de
registrados en los estados de cuenta de tu tarjeta de crédito, confirmando sobre todo los
montos pequeños.