La capacidad de distribuir el procesamiento de datos simultáneamente en muchos computadores del internet, los actuales esquemas unitarios o aislados de seguridad informática y el poco aprovechamiento de recursos biométricos, han dado origen a la Clonación virtual de tarjetas de crédito.
Hace unos meses mi esposa, empezó
a detectar consumos extraños en una de sus tarjetas de crédito con chip (montos
relativamente pequeños en establecimientos locales), volviéndose estos cada vez
más frecuentes.
Como era posible, si siempre
estamos pendientes de las diversas modalidades de fraude o engaño que se pueden
producir al usar una tarjeta de crédito y ella nunca descuida la misma, además
la tarjeta en mención solo la utilizaba en las cajas de los supermercados.
Al realizar las averiguaciones en
la entidad bancaria, nos dimos con la sorpresa que los consumos extraños,
siempre se daban en la modalidad de compra por internet, es decir a través de
las tiendas virtuales que ahora existen por cientos de miles en todo el mundo.
Pero como era posible ello, si la
tarjeta siempre estaba en su poder y para realizar compras por Internet hay que
ingresar un código denominado CVV de tres dígitos, que por lo general viene al
reverso de la tarjeta y que no es clonable, pues solo está a conocimiento del
portador y no forma parte de las señales impresas, banda magnética o chip
incorporado.
Rastreando un poco de literatura
especializada me encontré con esta investigación publicada por la prestigiosa
revista journal IEEE Security & Privacy "Distributed Attack Graph
Generation" (ver: https://www.computer.org/csdl/trans/tq/2016/05/07087377-abs.html)
y muy bien también en https://techxplore.com/news/2016-12-seconds-hack-credit-card.html
En resumen en ambos artículos,
enfrentan la realidad de que se pueden identificar todos los códigos de una
tarjeta de crédito o débito, disponiéndose con ello de información suficiente,
para realizar compras por Internet, es decir se ha logrado una clonación
virtual de la tarjeta, este proceso está basado en técnicas de prueba – error, al difundir datos en una lista finita de
sitios web que sin saberlo se prestan para tal propósito.
La manera como estos
cibercriminales, actúan para poder identificar todos los códigos de una tarjeta
de crédito es conociendo los siguientes aspectos:
- Identificar sitios web a nivel mundial, que implementen pasarela de pago en línea, mediante tarjetas de crédito o débito, con consultas intermedias de datos es decir identificando errores cometidos al ingresar datos para que el usuario los pueda corregir.
- Reconocer que las tarjetas de crédito o débito solo requieren de tres valores para solicitar un cargo de pago a su cuenta a través de compras en Internet; (1) El número de tarjeta, (2) El mes y año de vencimiento y (3) El código CVV (código de seguridad de tarjeta), este último solo de conocimiento del portador.
- Haber reconocido que el modelo de seguridad actual de compras por Internet, no detecta múltiples solicitudes de pago no válidos con el mismo número de tarjeta en diferentes sitios web, pues los niveles de seguridad solo están basados en no vulnerar el acceso a través de un solo sitio web de pago.
Establecidas las condiciones
anteriores, ahora el reto de los cibercriminales está en poder identificar cada
uno de los códigos de la tarjeta y para ello proceden bajo la siguiente lógica:
- Los números de identificación de una tarjeta de crédito, son muy fáciles de obtener pues son visibles, una simple fotocopia, foto o video sería suficiente para obtenerlo, pero además siguen ciertos patrones; según la región, los emisores u otros criterios de agrupamiento. Esto último permitiría una vez constituido el número de la tarjeta lanzarlo a un portal de pago en línea y esperar la respuesta de su vigencia.
- Con el número de tarjeta vigente identificado, el siguiente valor a obtener es el mes y año de caducidad, el cual lo mismo que en el caso del número de identificación de la tarjeta, muchas veces es visible. Pero este valor también podría ser obtenido, si ejecutamos un algoritmo de combinaciones a través de un robot de automatización de envió/recepción de datos, y para ello solo bastaría 60 intentos (combinaciones; año-mes) pues por lo general los emisores, normalmente emiten las tarjetas en periodos de vencimiento no mayores a 60 meses.
- Finalmente identificar el código de seguridad de la tarjeta (CVV), donde las combinaciones solo son de 1000 posibilidades (desde el valor 000 al 999), y en conjunto a los dos valores anteriormente ya encontrados, y nuevamente aplicando la automatización de un robot de envió/recepción de datos en una lista finita de sitios web con pasarelas de pago, es muy probable completar la identificación de todos los códigos de una tarjeta válida para realizar compras a través de Internet.
La posibilidad de cometer este
tipo de fraude cibernético, empleado la “Clonación virtual de tarjetas de
crédito o débito”, para realizar compras a través de Internet, está basado en
la vulnerabilidad de los actuales
niveles de seguridad, permisibles en los sistemas de control de emisores de
dichas tarjetas, los cuales solo se centran en asegurar lo que ocurra en cada
una de las pasarelas de pago las cuales en promedio permiten hasta 10 intentos
fallidos, antes de bloquear el origen de la solicitud (computadora, laptop o teléfono)
desde donde se invoca la validación de códigos y se olvidan de la red internet
en su conjunto.
Bajo las condiciones descritas
anteriormente solo se requeriría en promedio de unos 150 sitios webs con
pasarelas de pago y un máximo de 9 intentos por cada sitio, para lograr cubrir
1350 combinaciones distribuidas a nivel mundial, que no generan sospechas de
fraude, pero que si permiten obtener los códigos de una tarjeta de crédito o
débito, que posteriormente será empleada para cometer fraude cibernético.
Por ello no está demás tomar las
siguientes precauciones y evitar las molestias de estar reclamando o peor aún
quedarse con deudas que no generamos.
- No permitir que fotocopia, fotografiar o que tomen un video de su tarjeta de crédito pues en los datos impresos ya están dos de estos códigos.
- No enviar referencias de códigos de la tarjeta de crédito o datos personales a través de correos no encriptados.
- No realizar compras a través de sitios no conocidos o que no presenten niveles de seguridad mínimos (SSL), para ello hay que asegurarse que el sitio web parte de una dirección Web que inicie con las siglas https://... y se vea la imagen de un candado cerrado.
- No realizar compras a través de WI- FI o conexión a Internet pública (cabinas o cibercafés), pues los datos son fácilmente interceptados.
- Preferir usar para compras en internet las tarjetas de crédito a las de débito, por los niveles de cobertura ofrecidos y sobre todo no comprometen nuestro efectivo disponible, frente a una venta fraudulenta.
- Si su tarjeta es de chip, tiene que ser ingresada solamente en el POS, Nunca pasada por la banda magnética.
- De modo alternativo vale la pena emplear otros medios de pago como: Tarjetas de compra virtuales (PayPal, 2Checkout, u otros), Trustly (transferencia bancaria directa) o el tradicional y aún muy empleado Pago contra-reembolso.
- Y sobre todo acostumbremos a revisar y validar periódicamente los movimientos de registrados en los estados de cuenta de tu tarjeta de crédito, confirmando sobre todo los montos pequeños.