Fraudes con tarjetas. En cajeros o en la web, un perjuicio anual de US$300 millones

Un dispositivo de clonado de tarjetas instalado en un cajero automático de Recoleta
Un dispositivo de clonado de tarjetas instalado en un cajero automático de Recoleta Crédito: Policía de la Ciudad
Vanesa Listek
(0)
2 de septiembre de 2018  • 22:37

El riesgo de los fraudes con tarjetas de crédito y débito tanto en formato físico como virtual se ha convertido en una amenaza importante para los usuarios y para el sistema financiero. El costo de este tipo de delito global excederá los US$32.000 millones en 2021, según pronósticos de The Nilson Report, una consultora que investiga los sistemas de pago de todo el mundo. En la Argentina, en tanto, la "cifra negra" que manejan los expertos consultados por LA NACION remite a una pérdida de más de 800.000 dólares por día.

Los cajeros automáticos desactualizados –campo fértil para el clonado y el robo de tarjetas– y la eventual vulnerabilidad de las apps y las páginas web de bancos y comercios son la puerta de entrada para fraudes como el skimming (que consta de la instalación de un dispositivo capaz de copiar los datos de la banda magnética y de una cámara que graba el tipeo de la clave) y el phishing (robo informático de datos que permite suplantar la identidad de un usuario).

En los últimos cinco meses, la Dirección General de Delitos Informáticos (DGDI) de la Policía de la Ciudad abrió 76 investigaciones por maniobras ilegales relativas al uso de tarjetas de débito y de crédito.

En 2016 el promedio mundial era de 54 cajeros automáticos cada 100.000 habitantes; en la Argentina es de 60. Además, un 44% de la población global cuenta con tarjeta de débito, según estadísticas del Banco Mundial. Esta proliferación de equipos disponibles de acceso público atrae a las organizaciones delictivas que se dedican a los fraudes bancarios. Además, casi todos los cajeros automáticos son PC que usan versiones muy antiguas de sistemas operativos, algunas, incluso, Windows XP. Según especialistas de Kaspersky Lab –una de las más conocidas empresas globales de seguridad informática– esto los hace vulnerables a todo tipo de ataques.

"La gran mayoría del hardware de los cajeros automáticos son viejos y no soportarían la instalación de un sistema operativo nuevo y más seguro", explicó a LA NACIÓN Fabio Assolini, analista de seguridad senior de Kaspersky Lab. Los bancos aún usan sistemas operativos que ya no cuentan con el soporte técnico de su fabricante, Microsoft.

"Estos sistemas discontinuados son utilizados de manera masiva y están llenos de vulnerabilidades, lo que facilita el trabajo de los criminales", continuó Assolini. Otro problema que detalla es el fácil acceso que tienen los cibercriminales a los puertos USB, cables y otras entradas de las máquinas detrás de los cajeros para llevar a cabo un ataque.

Acceso indebido

Según surge de las investigaciones de la DGDI, pequeñas cámaras espía, baterías de litio y tarjetas de memoria –todos objetos electrónicos de venta legal y fáciles de adquirir– se convierten en una combinación peligrosa en manos de organizaciones de fraude bancario.

Alejandro Fernández, inspector principal de la unidad, explicó que "los skimmers capturan los datos de las tarjetas de débito en los cajeros automáticos, conectando detrás de placas con orificios milimétricos dispositivos que logran filmar, registrar y guardar los números de la clave o el PIN. Además cuentan con lectores electrónicos que colocan sobre la ranura real para deslizar las tarjetas y de esa manera se almacenan los datos contenidos en la banda magnética".

De las 127 investigaciones que lleva a cabo desde marzo de este año la división Defraudaciones y Estafas de la Policía de la Ciudad, el 60% son por maniobras con tarjetas.

"Este tipo de delitos es cometido muchas veces por extranjeros que llegan al país, ya que las leyes son más ‘amigables’ y es más difícil una posible condena –sostuvo el secretario de Seguridad porteño, Marcelo D’Alessandro–. Los que son detenidos rápidamente consiguen la libertad, ya que no tienen antecedentes en el país".

"El fraude bancario es un delito de baja denuncia judicial para los casos con pérdidas menores a 5000 pesos, porque tanto los bancos como las compañías de tarjetas de crédito reintegran el dinero o no les cobran las transacciones a los clientes que resultaron víctimas de una operación fraudulenta o que hizo otro por ellos", advirtió a LA NACION Gustavo Saín, especialista en ciberdelitos.

"La mayoría de estos fraudes poseen una resolución administrativa en tanto que las entidades emisoras suelen considerarlo más rentable que invertir en medidas de seguridad informática o en modernizar los cajeros automáticos; lo consideran una simple fuga de negocios, siempre y cuando no sean montos exorbitantes. Los casos ‘grandes’ pasan a las áreas de fraude de las empresas para ser investigados", agregó Saín.

Con plástico y sin plástico

Los millones que se pierden cada año erosionan las ganancias de los bancos y emisoras de tarjetas de crédito, amenazando la estabilidad financiera. Mientras algunos delitos implican para los criminales un riesgo real de ser descubiertos y detenidos, como en el skimming, en los que se realizan online, el anonimato de la web se convierte en una herramienta ideal para el fraude.

En 2017, el e-commerce en el país alcanzó los $136.000 millones, según un estudio realizado por la Cámara Argentina de Informática y Comunicaciones (Cicomra). Los comercios electrónicos enfrentan un desafío importante: la protección contra las violaciones de datos, en especial cuando se roba información de las tarjetas de crédito.

"El correo electrónico sigue siendo el medio de difusión más masivo para el phishing (captura de datos de terceros), tanto bancario como de empresas de ventas online", sostuvo Santiago Vallés, director del Centro de Seguridad Informática del ITBA. El consumidor hace clic en un enlace incluido en el propio mail, que lo redireccionará a una página web ficticia que se verá como si fuese un sitio de internet legítimo, pero la URL será una variación de la correcta o una muy diferente.

Conocido como suplantación de identidad, el phishing describe el método usado por los piratas informáticos para adquirir, de forma no autorizada, información confidencial del usuario, como ser los datos de la tarjeta de crédito, la tarjeta de coordenadas y más información útil para el acceso al home banking.

"Es muy difícil que la gente recuerde cuándo ocurrió el phishing por la hiperacción que tenemos con el celular", continuó Vallés. Puede que nunca haya una forma garantizada de frustrar a los criminales informáticos, pero algunas soluciones complican la extracción fraudulenta de datos, como ser las tarjetas con chip integrado, las tarjetas de crédito desechables y la tecnología de aproximación o NFC (solo se acerca la tarjeta a una terminal posnet para pagar y nunca se la entrega al vendedor).

Más allá de esto, el especialista Gustavo Saín dijo a LA NACIÓN que el fraude bancario también se da por internet no solo por impericia del usuario, sino también por las vulnerabilidades de seguridad que poseen las bases de datos de las entidades bancarias o empresas.

"Existen muchos casos donde se hackean los servidores y los ciberdelincuentes se alzan con miles de números de cuentas bancarias y de tarjetas de crédito con sus claves. En esto los usuarios no poseen ninguna responsabilidad", concluyó.

CONSEJOS PARA USUARIOS

Julio Cartier del Departamento de Cibercrimen de la Policía de la Ciudad, recomienda:

  • Usar los cajeros automáticos en la semana: ¿Necesita dinero en efectivo? Las posibilidades de sufrir un fraude aumentan drásticamente cuando comienza el fin de semana, en especial el viernes por la noche, sábado por la mañana y fines de semana largos. Los ladrones saben que los cajeros son inspeccionados regularmente durante la semana por las compañías que los administran, pero no los fines de semana y quieren maximizar el tiempo de sus dispositivos ilegales o skimmers.
  • Usar los cajeros automáticos de los bancos: evite el uso de cajeros en supermercados, shoppings o restaurantes. Las máquinas están tan expuestas que es de más fácil acceso para los delincuentes
  • Controlar el estado de las cuentas online: a veces la institución financiera detectará el fraude, pero no siempre. El cliente no es responsable por los cargos fraudulentos pero si deben informarlos. Además es importante recibir notificaciones por mail o mensaje de texto cada vez que realiza una transacción.
  • Cualquiera puede detectar un skimmer: Si un cajero automático tiene un aspecto sospechoso, con dispositivos que sobresalen de las ranuras para insertar la tarjeta, o la pantalla, no lo use. Además, si alguien está mirando por encima de su hombro para ver cuál es su PIN, tape el teclado con la mano
  • El email sigue siendo el medio de difusión más masivo para el phishing, seguido por la navegación de páginas web: Cada vez hay más phishing por la facilidad de los smartphones, donde la visualización de los mails es distinta que en la computadora.

Los casos "chicos" se resuelven puertas adentro

"El fraude bancario es un delito de baja denuncia judicial para los casos con pérdidas menores a 5000 pesos, porque tanto los bancos como las compañías de tarjetas de crédito reintegran el dinero o no les cobran las transacciones a los clientes que resultaron víctimas de una operación fraudulenta o que hizo otro por ellos", advirtió a LA NACION Gustavo Saín, especialista en ciberdelitos.

"La mayoría de estos fraudes poseen una resolución administrativa en tanto que las entidades emisoras suelen considerarlo más rentable que invertir en medidas de seguridad informática o en modernizar los cajeros automáticos; lo consideran una simple fuga de negocios, siempre y cuando no sean montos exorbitantes. Los casos 'grandes' pasan a las áreas de fraude de las empresas para ser investigados", agregó Saín.

MÁS leídas ahora

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.

Descargá la aplicación de LA NACION. Es rápida y liviana.