Clonacion de tarjetas en internet y como protegerte

Los servicios de pago son cada vez más convenientes y seguros, pero los ciberdelincuentes aún siguen robando fondos de tarjetas en todo el mundo. A continuación, te contamos cuáles son los métodos más comunes utilizados para este tipo de robo y cómo contrarrestarlos.

Cuando las tarjetas solo almacenaban información en una banda magnética, era bastante fácil para los estafadores producir una copia exacta y usarla para pagar en las tiendas o sacar dinero en cajeros automáticos. Al principio, los datos se leían con un dispositivo especial: un skimmer que se instalaba en un cajero automático o en el terminal de una tienda. Esto se fue complementando con una cámara o una almohadilla especial en el teclado del terminal para averiguar el código PIN de la tarjeta. Tras obtener el volcado de la tarjeta y el PIN, los estafadores escribían los datos en una tarjeta en blanco y la usaban en un cajero automático o en una tienda.

Esta tecnología sigue funcionando en algunas partes del mundo, pero la llegada de las tarjetas con chip ha reducido considerablemente su eficacia. Este tipo de tarjetas no son tan fáciles de copiar, por ello los delincuentes comenzaron a infectar las terminales de pago con un código malicioso que copia algunos datos de la tarjeta mientras procesa una compra legítima. Después, los estafadores envían solicitudes de pago generadas con esta información. Básicamente, solo envían los datos que se han registrado previamente en la banda magnética, pero etiquetan la transacción como realizada por el chip. Esto resulta posible cuando los bancos no cruzan referencias de varios parámetros de transacción con suficiente detalle e implementan incorrectamente los protocolos EMV que deben cumplir todas las acciones de tarjetas con chip.

Con los bancos menos descuidados, los atacantes utilizan un truco aún más sofisticado. Cuando la víctima realiza un pago legítimo, la terminal de pago infectada solicita que la tarjeta insertada genere otra transacción fraudulenta. Por lo tanto, la tarjeta en sí no se copia, pero los fondos adicionales se deducen igualmente.

Cómo protegerte: intenta usar la función de pago sin contacto desde tu teléfono, que está mejor protegida. Si aún tienes que insertar una tarjeta en un terminal, verifica detenidamente el panel del código PIN en busca de modificaciones sospechosas y no te olvides de cubrirlo con tu mano, bolso u otro objeto cuando introduzcas el código. Si de repente el terminal no acepta el pago sin contacto, aparecen mensajes inusuales en la pantalla o solicita que introduzcas el PIN repetidamente, puedes comenzar a sospechar y tomar medidas de protección adicionales, como, por ejemplo, consultar de inmediato el estado de tu cuenta o establecer un límite de gasto bajo en la tarjeta.

Hoy en día podemos comprar carteras y bolsos protegidos con RFID, que protegen las tarjetas físicas de una lectura remota, por ejemplo, en el transporte público. No hay nada de malo con esta protección, lo cierto es que funciona. Sin embargo, esta situación de ataque es bastante inusual. Con un escaneo tan rápido solo se puede leer la información básica de la tarjeta y, por lo general, esto no es suficiente para realizar un pago. A su vez, es fácil averiguar las últimas ubicaciones y cantidades de pago sin contacto.

Aquí, los estafadores buscan los datos de la tarjeta bancaria para poder realizar pagos online. Por lo general, incluyen el número de tarjeta, la fecha de vencimiento y el código de verificación (CVV/CVC); además, dependiendo del país, también se puede solicitar el nombre del titular de la tarjeta, código postal o número de pasaporte. Los estafadores recopilan estos datos de tres formas diferentes:

Atrayendo a la víctima mediante la organización de una tienda online falsa, una copia de phishing de una tienda online real o con el pretexto de recaudar dinero para obras de caridad.

Interceptando información a través de la infección de la página web de una tienda online genuina (web skimming) o el ordenador o smartphone de la víctima (troyano bancario).

Hackeando una tienda online genuina y robando la información almacenada de la tarjeta de pago del cliente. Ten en cuenta que se supone que las tiendas no deben almacenar la información completa de la tarjeta, pero, por desgracia, a veces esta regla se infringe.

En general, este método de robo, aunque antiguo, ha llegado para quedarse; por ejemplo, según nuestro análisis, los ataques de robo de datos bancarios casi se duplicaron en el 2022.

Cómo protegerte: en primer lugar, hazte con una tarjeta virtual para tus pagos online. Si no es demasiado difícil o costoso, emite una nueva tarjeta virtual y bloquea la anterior al menos una vez al año. Segundo, establece un límite bajo en tu tarjeta para pagos online o simplemente ingresa muy poco dinero en ella. Tercero, asegúrate de que el banco siempre te solicite la confirmación de los pagos online con un código de un solo uso (usando 3-D Secure o mecanismos similares). Y cuarto, revisa cuidadosamente las formas de pago y las direcciones de los sitios donde hayas introducido información financiera. Para no tener que estar tan pendiente de este problema, usa herramientas de ciberseguridad que protejan de forma segura tus pagos online.