Noticias de seguridad

Cuidado con el robo de tarjetas en cajeros automáticos y bombas de gas

David Strom, 9 junio 2020

Los cajeros automáticos y las bombas de gas han sido durante mucho tiempo un objetivo para los atacantes para recopilar información de tarjetas de crédito de los usuarios desprevenidos. Esto es lo que necesitas saber

Los cajeros automáticos han sido durante mucho tiempo objetivos de ladrones; Hace varios años existía el malware Tyupkin (sitio en inglés), que podía controlar sus cajones de efectivo. Pero una forma de ataque más popular se lleva a cabo a través de cajeros automáticos y skimmers de tarjetas de bombas de gas, que generalmente son superposiciones unidas al exterior de los cajeros automáticos y las bombas. Cuando insertas tu tarjeta en la máquina, estos skimmers clonan tu tarjeta y capturan tu número de cuenta y NIP, que luego se utiliza para limpiar tu cuenta.

PC Magazine (sitio en inglés) tiene una larga lista de sugerencias sobre cómo reconocer a estos skimmers, así como también cómo tener cuidado cuando recibes efectivo para asegurarte de acceder a un servicio de cajero automático legítimo. Esto es especialmente un problema ahora que muchos cajeros automáticos están siendo fabricados por vendedores privados y están ubicados en áreas no bancarias como bodegas y bares. Eso podría ser un problema, especialmente con el aumento de skimmers ATM más sofisticados. Deberías estar preocupado porque esto es básicamente dar tu identidad a los malos.

Brian Krebs está en el caso. Publicó una serie de artículos hace varios años sobre su viaje a la Riviera Maya en México, donde observó el problema de primera mano. Se las arregló para encontrar al menos 19 cajeros automáticos diferentes que parecían pirateados y modernizados con dispositivos pequeños y sofisticados que almacenan y transmiten datos y PIN robados a través de la tecnología Bluetooth. De hecho, ¡Krebs encontró una de esas máquinas instalada por coincidencia en su propio hotel! A pesar de las reuniones con el personal de seguridad del hotel, no pudo desactivar el cajero automático. Estos skimmers ATM podrían haber sido instalados por empleados comprometidos sobornados para abrir las máquinas e insertar las placas de circuito necesarias para atrapar los datos del cliente.

Como Krebs escribió en una publicación de blog (sitio en inglés): "Los datos de la tarjeta robada se pueden recuperar de los componentes de Bluetooth de forma inalámbrica: el ladrón simplemente necesita estar a pocos metros del cajero automático comprometido para extraer los datos de la tarjeta robada y los NIP de los dispositivos, siempre que tenga el clave secreta necesaria para acceder a esa conexión inalámbrica Bluetooth ". A diferencia de los skimmers más tradicionales, no hay forma de saber de inmediato si una máquina ha sido manipulada de otra manera que no sea analizando las señales de Bluetooth que provienen de la máquina. Krebs informó el año pasado una nueva herramienta que puede ayudar a localizar skimmers basados ​​en Bluetooth llamada Bluetana (sitio en inglés). Está siendo utilizado por la policía y es una aplicación que se ejecuta en un teléfono inteligente.   

Los cajeros automáticos no son el único lugar frecuentado por los skimmers: los delincuentes también se han ramificado para conectar sus dispositivos a las bombas de gas. Esto se debe a que muchos están desatendidos, y solo unas pocas llaves maestras pueden abrirlos para que los delincuentes puedan instalar sus dispositivos electrónicos de descremado.

Desde que aparecieron esas publicaciones, los periodistas han investigado y atraído la atención de la policía. Se documentaron cómo un anillo de rumanos (sitio en inglés) compró cajeros automáticos de fabricación china, agregó su propio software a medida y los dispositivos Bluetooth y poco controlado más de 100 cajeros automáticos en México para tarjetas descremada. El anillo ganó millones de dólares de sus operaciones antes de ser cerrado por las autoridades. Los periodistas han documentado cómo construyeron su imperio y lavaron su elenco a través de una serie de inversiones inmobiliarias.

¿Son los cajeros automáticos falsos una preocupación?

¿Es esto solo un problema fuera de los Estados Unidos? No En los Estados Unidos, un estafador de Connecticut fue arrestado en 1993 (sitio en inglés) por colocar cajeros automáticos falsos en todo el estado. ¿El aviso? Estas falsificaciones nunca contenían efectivo real para dispensar. Sí, EE. UU. Tiene mejores regulaciones bancarias que México, pero eso solo significa que es más difícil para los delincuentes operar.

Lo que debes hacer para estar más seguro

Dados estos exploits , hay algunas sugerencias que debes recordar la próxima vez que necesites obtener efectivo. Primero, sigue las sugerencias de PC Magazine para conocer el tipo de cajero automático (o bomba de gas) que estás a punto de usar. En segundo lugar, usa una máquina propiedad del banco siempre que sea posible y no un cajero automático privado de terceros; los skimmers de cajeros automáticos que Krebs encontró eran todos de fiestas privadas. Luego, siempre examina tus extractos bancarios y concilia toda la actividad de tu cuenta, especialmente los retiros de cajeros automáticos y otras tarjetas de débito. Los delincuentes involucrados en las estafas de cajeros automáticos mexicanos solo retirarían unos cientos de dólares en varios lugares del mundo para tratar de frustrar la detección.

Si usas un cajero automático u obtienes gasolina, considera usar una tarjeta de débito sin contacto. Esto podría evitar cualquier skimmer porque no inserta nada en la ranura para tarjetas de la máquina. Las tarjetas sin contacto han estado en Europa durante muchos años y recientemente finalmente se han establecido en los Estados Unidos y México, muchas de mis nuevas tarjetas tienen esta característica. Esto podría tomar la forma de usar Apple o Android Pay, que básicamente convierten tu teléfono en una fuente de pago sin contacto. (Las tarjetas sin contacto también son mucho más rápidas y no tienes que darle tu tarjeta a nadie, lo cual es otro bono además de usarlas en cajeros automáticos). Y, por último, trata de no llevar efectivo. Dado que el efectivo ya no se acepta en muchos lugares debido al miedo a los virus , esta no es una mala idea.