Skimming: ¿qué es y cómo protegerse?

El Skimming es un tipo de fraude con tarjetas bancarias, que consiste en leer información de su banda magnética utilizando un dispositivo técnico especial o skimmer. Los estafadores también intentan averiguar el código PIN de la víctima.

Una vez recibidos los datos de la tarjeta, pueden copiarlos y retirar todo el dinero. Para leer datos, se utilizan skimmers, dispositivos especiales que se conectan directamente al cajero automático, así como a cualquier ranura receptora del lector de tarjetas.

Los estafadores pueden instalar lectores de banda magnética portátiles en hoteles, cafés, restaurantes, y en tiendas. El dispositivo de desnatado generalmente incluye un cabezal de lectura magnético, un transductor que traduce la información a un código digital y un dispositivo de almacenamiento que escribe el código en el medio de almacenamiento.

Los skimmers generalmente se fabrican en forma de una almohadilla especial en el lector de tarjetas y funcionan con baterías en miniatura. Los skimmers son de dos tipos. Algunos acumulan información sobre diferentes usuarios, mientras que otros transmiten inmediatamente datos sobre tarjetas a los estafadores mediante un canal de radio o mediante una tarjeta SIM incorporada a través de redes móviles.

Estados Unidos es el país más afectado

Durante el año pasado, los mayores episodios de skimming se registraron en los Estados Unidos. Los ataques afectaron a más de 1.000 clientes bancarios y los delincuentes intentaron robar más de 1,5 millones de dólares en enero de 2021 en New Jersey.

En abril de 2021, dos hombres fueron condenados a 75 meses de prisión por robar, por lo que instituciones financieras ubicadas en los estados de Michigan, Nebraska y Iowa sufrieron pérdidas por un monto de 587 mil dólares.

Estadísticas de Skimming

La pandemia ha afectado la actividad de los estafadores, dicen los expertos. El skimming se divide en dos tipos: con el uso de una tarjeta o su duplicado y sin él. El skimming físico se utiliza en cajeros automáticos y terminales POS.

El fraude de pagos es posible cuando un vendedor, un camarero o cualquier otra persona solicita una tarjeta a un comprador o cliente. En este momento, lo pasa por un lector, que se encuentra junto al terminal de pago y fuera de la vista.

El skimming en línea funciona con software malicioso. Los cajeros automáticos durante las operaciones con tarjetas pueden transferir datos de la banda magnética en forma abierta. Si la conexión de red entre el cajero automático y el procesamiento no está protegida por encriptación, los estafadores pueden “ver” el tráfico a través de superposiciones especiales.

También pueden utilizar la ingeniería social para infiltrarse en los ordenadores de los empleados bancarios y obtener información sobre las operaciones de los cajeros automáticos. Finalmente, los atacantes inyectan código JavaScript en los servidores de la tienda en línea donde se almacenan los datos del titular de la tarjeta.

Si la autenticación de SMS de dos factores no está presente al realizar compras, los estafadores solo necesitan conocer el código CVV de la tarjeta. El tipo más avanzado de skimming en línea es la práctica de microtransacciones.

La organización puede solicitar al titular de la tarjeta que realice un pago de prueba para confirmar la reserva con el fin de verificarla. En este caso, el titular de la tarjeta ingresa en el sitio (que puede ser un doble del servicio popular) los datos de su plástico, incluido el código CVV.

Se utilizan varios lectores de tarjetas para el fraude. Todo depende del tipo de cajero automático o lector de tarjetas:

- Lector de cinta magnética: Consiste en un pequeño circuito integrado que funciona con baterías. Por lo general, el lector está encerrado en una caja de plástico o metal que imita y se ajusta al lector de tarjetas real del cajero automático u otro dispositivo de destino. Este componente permite a los atacantes obtener información codificada en la banda magnética de la tarjeta sin bloquear la transacción real.

- Cámara oculta: Instalada en un cajero automático o cerca, a menudo se disfraza de material publicitario. Le permite leer el código PIN del usuario al ingresar.

- Teclado superpuesto: Tiene el mismo propósito que una videocámara. Es una superposición en el teclado del cajero automático real y registra el código pin a medida que lo ingresa.

A medida que muchos países cambiaron a tarjetas con chip, los delincuentes también se adaptaron y comenzaron a surgir opciones más sofisticadas de skimmer. Algunos dispositivos son lo suficientemente delgados como para caber en la ranura de un lector de tarjetas.

Los skimmers también se pueden colocar completamente dentro de los cajeros automáticos, generalmente por profesionales corruptos, ya sea perforando o cortando agujeros en la cubierta del cajero.

El mayor peligro para el usuario lo representan los cajeros automáticos callejeros y desconocidos, especialmente aquellos ubicados en áreas sin iluminación; es más fácil instalar lectores en ellos. Es mejor usar cajeros automáticos con parches anti-skimming o jitter.

El lector de tarjetas de fluctuación hace que la tarjeta vibre ligeramente, lo que evita que los estafadores registren la información correctamente. Los más seguros son los cajeros automáticos ubicados directamente en las sucursales bancarias.

Dichos dispositivos son controlados periódicamente por el servicio de seguridad. La banda magnética de la tarjeta almacena información como el número de plástico, la fecha de vencimiento de la tarjeta, el nombre del propietario, el código de servicio (para que el cajero automático / terminal entienda qué funciones tiene la tarjeta) y un código de verificación (similar a CVV).

Con esta información, el defraudador hace un duplicado del plástico y obtiene acceso a la cuenta de la tarjeta. Al mismo tiempo, puede retirar dinero en cualquier parte del mundo hasta que el titular de la cuenta contacte con su banco para bloquear la tarjeta.

En ausencia de autenticación de dos factores, los delincuentes también pueden comprar en línea. El principal peligro del skimming es el marco legal imperfecto para la protección de los fondos robados debido a la filtración de información.

Cómo evitar ser víctima del skimming

Para no perder dinero, debe cumplir con algunas reglas simples:

• Utilice aquellas terminales y cajeros automáticos que se encuentren directamente en sucursales bancarias u otras instituciones protegidas.
• Mejor buscar cajeros automáticos con anti-skimmers.
• No utilice cajeros automáticos desconocidos.
• Antes de insertar una tarjeta en un cajero automático, revísala.
• No le diga a nadie su código PIN y, cuando lo ingrese, cubra el teclado con la palma de la mano.
• No entregue su tarjeta a extraños; no almacene sus datos en dispositivos públicos (por ejemplo, PC de oficina); no exprese estos datos por teléfono si llama un “empleado del banco”.
• Si pierde la tarjeta, llame inmediatamente al banco para bloquearla; comprobar periódicamente los datos de pago en aplicaciones bancarias.
• Conecte el servicio de información por SMS sobre transacciones con tarjeta.
• Emitir tarjetas solo con chip.
• Establece un límite para la emisión de fondos por día y por operación.
• En el extranjero, retirar dinero solo en sucursales bancarias.
• Si es posible, use NFC en su teléfono inteligente conectando Apple Pay, Samsung Pay o Android Pay.
• Como opción de seguridad adicional, también puede instalar una de las aplicaciones Skimmer Scanner que verifica las transmisiones Bluetooth para descubrir dichos dispositivos.

Fuente: https://revistabyte.es/ciberseguridad/skimming-que-es-y-como-protegerse/