El skimming es una práctica ilegal orientada hacia la captura no autorizada de los datos confidenciales contenidos en el plástico de una tarjeta de pago ( banda magnética y/o contactless) con el fin de ser empleados para fines fraudulentos (clonación, uso en transacciones no presenciales, etc.).
Desde el origen de las tarjetas con banda magnética, éste ha sido uno de los principales problemas de seguridad a los que se enfrentan los adquirientes, los comercios y los propios usuarios. En este punto, es importante tener presente que los datos de la banda magnética se encuentran grabados en el plástico en texto claro y que no se cuenta con ningún método de protección asociado, más allá de la seguridad física del plástico.
Esta captura fraudulenta de datos de tarjeta puede ser realizada a través de diferentes dispositivos (denominados skimmers) que emplean las mismas funcionalidades que cualquier lector legítimo y que por lo general son ubicados de forma encubierta para evitar que el usuario detecte su presencia. Igualmente, existen skimmers portátiles que permiten la captura de datos directamente por el delincuente sin la necesidad de estar desplegados en un lector legítimo.
En este artículo se realizará una breve introducción a esta práctica delincuencial y se describirá algunas formas para evitar ser víctima de este tipo de fraude, así como recomendaciones por parte de las marcas de pago para afrontar este riesgo.
Skimming en cajeros electrónicos
Los cajeros automáticos / electrónicos (ATM – Automated Teller Machine) han sido históricamente los dispositivos más afectados por este problema, debido en gran medida a que no requieren de personal del banco, se encuentran ubicados en sitios con niveles de seguridad bajos y expuestos al público en general (centros comerciales, tiendas, supermercados, estaciones de transporte público, gasolineras, etc.), no son monitorizados de forma continua y muchas veces se encuentran en zonas aisladas y con poca visibilidad, facilitando la actividad del delincuente en la instalación, operación y retirada del skimmer.
Los delincuentes aprovechan estas fallas para ubicar el skimmer encima del lector legítimo o en otra ubicación que no ofrezca desconfianza al usuario final. De esta manera, cuando el usuario se dispone a retirar su dinero empleando una tarjeta de pago, es él mismo quien inserta el plástico en el skimmer sin notar ninguna diferencia en la operación normal del cajero. Los datos capturados (datos completos de la banda magnética) son almacenados hasta que el delincuente retira el lector encubierto.
Los skimmers se adaptan a los diferentes tipos de cajeros electrónicos y su efectividad depende del camuflaje empleado para evitar ser detectado. Están diseñados para que se puedan colocar sobre la abertura del lector de tarjetas del cajero electrónico, ya sea cubriendo el propio lector o a través de un panel falso que cubre toda la superficie del frente del lector de tarjetas:
Con el fin de obtener el dato del PIN asociado a los datos de la banda magnética capturada, los delincuentes suelen instalar como complemento al skimmer una microcámara de video (cámara estenopeica) que permite la grabación del PIN del usuario:
En otros escenarios, se emplean teclados superpuestos que registran las teclas oprimidas por la víctima:
También pueden recurrir a métodos menos técnicos, como shoulder surfing (mirar por encima del hombro):
Con estos elementos (banda completa de la tarjeta y PIN), el delincuente puede proceder a emplear estos datos con fines delincuenciales (extracción de dinero, compras y pagos abusivos, etc.).
¿Cómo protegerte si eres un usuario?
Otro dispositivo afectado por esta técnica delincuencial es el datafono o TPV (Terminal de Punto de Venta), empleados en supermercados, gasolineras, peajes, etc. Debido a que estos elementos también permiten la lectura de la banda magnética y la digitación del PIN, son empleados por los criminales para la instalación de skimmers. Estos skimmers suelen estar acoplados en una carcasa externa que cubre toda la superficie del datafono o ser pequeñas unidades camufladas que capturan los datos de la tarjeta en el momento en el que el usuario la desliza.
Skimmers similares suelen ser instalados en terminales de pago desatendidas de gasolineras o peajes, que por lo general no requieren de autorización de la transacción en tiempo real (online), por lo que la detección del fraude es más demorada:
¿Cómo protegerte si eres un usuario?
Los comercios que emplean terminales de punto de venta (TPV) atendidas o desatendidas deben cumplir con un conjunto de controles de PCI DSS dependiendo del tipo y características de conexión del TPV (SAQ B, SAQ B-IP o SAQ P2PE). Estos controles incluyen la verificación periódica de la seguridad física del punto de interacción ( Point of Interaction – POI) para verificar que no se han instalado componentes extraños, no se encuentran cables o carcazas adicionales y que los controles de seguridad provistos por el fabricante se mantienen íntegros (sellos de seguridad, tornillos, etc.). Adicionalmente, se requiere de formación a los empleados que están al cargo de estas terminales y/o las emplean para recepción de pagos y la creación de un inventario de terminales que incluya información del dispositivo, estado, identificación y ubicación. Algunas recomendaciones generales se pueden encontrar en el documento " PCI DSS v3.0 compliance: A closer look at Requirement 9.9 – Payment Terminal Protection".
¿Cómo protegerte si eres un banco?
Idealmente, el objetivo es emplear terminales de pago que acepten transacciones vía EMV. No obstante – y debido a compatibilidad con tarjetas emitidas en otros lugares – la compatibilidad con tarjetas con banda magnética obliga a aceptar métodos de pago inseguros.
En este caso, informar acerca de la responsabilidad de la seguridad física de las terminales a los comercios en donde se encuentran instaladas y enviar notificaciones periódicas para recordar acerca de estas responsabilidades y de los riesgos asociados.
Skimmers portátiles
Los skimmers no necesariamente deben estar ubicados en cajeros electrónicos y en TPV (datáfonos). También pueden ser portables. En este caso, requieren que el delincuente tenga acceso de alguna forma al plástico y lo deslice por el skimmer para leer la banda magnética, la cual es almacenada en el propio dispositivo para posteriormente ser descargada en un ordenador.
Es importante saber que existen skimmers que capturan los datos de tarjetas de pago que soportan NFC (contactless). En este caso – y dependiendo de la implementación – la cantidad de datos capturados se puede limitar al PAN, la fecha de expiración y el nombre del titular.
¿Cómo protegerte si eres un usuario?
Aplican las mismas recomendaciones en el uso de skimming en datáfonos / TPV.
Recomendaciones generales
Con el objetivo de concienciar a usuarios y comercios respecto a los riesgos de estas prácticas delincuenciales, el PCI SSC publicó en septiembre de 2014 el documento " Information Supplement – Skimming Prevention: Best Practices for Merchants". Este documento incluye diferentes ejemplos de ataques y acciones para protegerse.
Por otro lado, VISA ha publicado los siguientes documentos, orientados hacia la información y actuación preventiva en casos de skimming:
Autor: David Eduardo Acosta - CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L. A.
Departamento de Consultoría
Desde el origen de las tarjetas con banda magnética, éste ha sido uno de los principales problemas de seguridad a los que se enfrentan los adquirientes, los comercios y los propios usuarios. En este punto, es importante tener presente que los datos de la banda magnética se encuentran grabados en el plástico en texto claro y que no se cuenta con ningún método de protección asociado, más allá de la seguridad física del plástico.
Esta captura fraudulenta de datos de tarjeta puede ser realizada a través de diferentes dispositivos (denominados skimmers) que emplean las mismas funcionalidades que cualquier lector legítimo y que por lo general son ubicados de forma encubierta para evitar que el usuario detecte su presencia. Igualmente, existen skimmers portátiles que permiten la captura de datos directamente por el delincuente sin la necesidad de estar desplegados en un lector legítimo.
En este artículo se realizará una breve introducción a esta práctica delincuencial y se describirá algunas formas para evitar ser víctima de este tipo de fraude, así como recomendaciones por parte de las marcas de pago para afrontar este riesgo.
Skimming en cajeros electrónicos
Los cajeros automáticos / electrónicos (ATM – Automated Teller Machine) han sido históricamente los dispositivos más afectados por este problema, debido en gran medida a que no requieren de personal del banco, se encuentran ubicados en sitios con niveles de seguridad bajos y expuestos al público en general (centros comerciales, tiendas, supermercados, estaciones de transporte público, gasolineras, etc.), no son monitorizados de forma continua y muchas veces se encuentran en zonas aisladas y con poca visibilidad, facilitando la actividad del delincuente en la instalación, operación y retirada del skimmer.
Los delincuentes aprovechan estas fallas para ubicar el skimmer encima del lector legítimo o en otra ubicación que no ofrezca desconfianza al usuario final. De esta manera, cuando el usuario se dispone a retirar su dinero empleando una tarjeta de pago, es él mismo quien inserta el plástico en el skimmer sin notar ninguna diferencia en la operación normal del cajero. Los datos capturados (datos completos de la banda magnética) son almacenados hasta que el delincuente retira el lector encubierto.
Los skimmers se adaptan a los diferentes tipos de cajeros electrónicos y su efectividad depende del camuflaje empleado para evitar ser detectado. Están diseñados para que se puedan colocar sobre la abertura del lector de tarjetas del cajero electrónico, ya sea cubriendo el propio lector o a través de un panel falso que cubre toda la superficie del frente del lector de tarjetas:
Con el fin de obtener el dato del PIN asociado a los datos de la banda magnética capturada, los delincuentes suelen instalar como complemento al skimmer una microcámara de video (cámara estenopeica) que permite la grabación del PIN del usuario:
En otros escenarios, se emplean teclados superpuestos que registran las teclas oprimidas por la víctima:
También pueden recurrir a métodos menos técnicos, como shoulder surfing (mirar por encima del hombro):
Con estos elementos (banda completa de la tarjeta y PIN), el delincuente puede proceder a emplear estos datos con fines delincuenciales (extracción de dinero, compras y pagos abusivos, etc.).
¿Cómo protegerte si eres un usuario?
- Utiliza solamente cajeros electrónicos localizados en sitios confiables (dentro del propio banco, por ejemplo)
- Inspecciona siempre la superficie de los lectores de la tarjeta de pago y los teclados de los cajeros electrónicos en busca de cables, paneles falsos o accesorios sueltos o flojos y/o superficies extrañas ANTES de insertar la tarjeta. En caso de identificar cualquier anomalía, no uses el cajero e informa al banco o a la policía de forma inmediata.
- Si la tarjeta es bloqueada o no es regresada por el cajero electrónico, NO TE RETIRES del cajero. Llama a la policía o al banco para notificar este problema.
- Nunca recibas ayuda de personas extrañas cuando te encuentres realizando una transacción en un cajero electrónico.
- Estate atento a personas extrañas que puedan estar a tu alrededor mientras realizas la transacción. Algunos cajeros electrónicos cuentan con pequeños espejos ubicados encima o a los costados del cajero para identificar el entorno:
- Siempre cubre el teclado durante la digitación del PIN. Esto evitará que cualquier micro-cámara o personas cercanas puedan visualizar este dato mientras es digitado:
- El uso de tarjetas de pago con chip EMV disminuye de forma drástica la copia no autorizada de los datos de la tarjeta a través de skimmers. La responsabilidad por los fraudes relacionados con tarjetas falsificadas utilizadas en cajeros automáticos se asignará a la parte – Adquirente o Emisor – que no haya adoptado la tecnología de chip EMV. Si se usa una tarjeta de chip EMV en un cajero que no tenga la capacidad de aceptar tarjetas de chip EMV, el Adquirente del cajero automático asumirá el coste del fraude debido al uso de una tarjeta falsificada.
- Notificar a los clientes acerca de los riesgos del skimming y las acciones que deben tener presente para auto-defenderse de esta práctica delictiva.
- Mantener un sistema de CCTV (circuito cerrado de televisión) 7×24 que cubra los alrededores del lugar en donde se encuentra instalado el cajero electrónico.
- Instalar lectores de tarjetas del tipo Jitter (vibratorio), que dificulta la lectura directa de la banda magnética de la tarjeta.
- Instalar paneles anti-skimmer, que ayudan a evitar que el delincuente ubique un dispositivo de skimming encima de la ranura donde se inserta la tarjeta en el cajero electrónico.
- Instalar dispositivos emisores de interferencias de frecuencias radiales que distorsionen el campo electromagnético que rodea al lector de tarjetas.
- Notificar al usuario a través de mensajes de texto (SMS) acerca del uso de sus datos de tarjetas en transacciones extrañas.
- Usar dispositivos PED (PIN Entry Devices) que cumplan con el programa PCI PIN (Encrypting PIN PAD – EPP)
- El PCI SSC publicó en enero de 2013 el documento “Information Supplement: ATM Security Guidelines” que ofrece una serie de mejores prácticas a la hora de configurar y desplegar en producción un cajero electrónico, incluyendo seguridad física, seguridad lógica (software) y procedimientos para evitar la inserción de skimmers, entre otros controles.
Figura 1. Bloques de componentes de un cajero electrónico cubiertos por la guía del PCI SSC
Otro dispositivo afectado por esta técnica delincuencial es el datafono o TPV (Terminal de Punto de Venta), empleados en supermercados, gasolineras, peajes, etc. Debido a que estos elementos también permiten la lectura de la banda magnética y la digitación del PIN, son empleados por los criminales para la instalación de skimmers. Estos skimmers suelen estar acoplados en una carcasa externa que cubre toda la superficie del datafono o ser pequeñas unidades camufladas que capturan los datos de la tarjeta en el momento en el que el usuario la desliza.
Skimmers similares suelen ser instalados en terminales de pago desatendidas de gasolineras o peajes, que por lo general no requieren de autorización de la transacción en tiempo real (online), por lo que la detección del fraude es más demorada:
- Al igual que con los cajeros electrónicos, revisa siempre la superficie de la terminal de pago en busca de accesorios, pegatinas, cables, carcazas o piezas extrañas
- Siempre utiliza terminales de comercios reconocidos
- Si la tarjeta soporta EMV, inserta la tarjeta en el lector EMV en vez de emplear la lectura de la banda magnética
- Protege el PIN en el momento de la digitación
- Nunca entregues tu tarjeta a nadie ni la pierdas de vista durante la transacción
Los comercios que emplean terminales de punto de venta (TPV) atendidas o desatendidas deben cumplir con un conjunto de controles de PCI DSS dependiendo del tipo y características de conexión del TPV (SAQ B, SAQ B-IP o SAQ P2PE). Estos controles incluyen la verificación periódica de la seguridad física del punto de interacción ( Point of Interaction – POI) para verificar que no se han instalado componentes extraños, no se encuentran cables o carcazas adicionales y que los controles de seguridad provistos por el fabricante se mantienen íntegros (sellos de seguridad, tornillos, etc.). Adicionalmente, se requiere de formación a los empleados que están al cargo de estas terminales y/o las emplean para recepción de pagos y la creación de un inventario de terminales que incluya información del dispositivo, estado, identificación y ubicación. Algunas recomendaciones generales se pueden encontrar en el documento " PCI DSS v3.0 compliance: A closer look at Requirement 9.9 – Payment Terminal Protection".
¿Cómo protegerte si eres un banco?
Idealmente, el objetivo es emplear terminales de pago que acepten transacciones vía EMV. No obstante – y debido a compatibilidad con tarjetas emitidas en otros lugares – la compatibilidad con tarjetas con banda magnética obliga a aceptar métodos de pago inseguros.
En este caso, informar acerca de la responsabilidad de la seguridad física de las terminales a los comercios en donde se encuentran instaladas y enviar notificaciones periódicas para recordar acerca de estas responsabilidades y de los riesgos asociados.
Skimmers portátiles
Los skimmers no necesariamente deben estar ubicados en cajeros electrónicos y en TPV (datáfonos). También pueden ser portables. En este caso, requieren que el delincuente tenga acceso de alguna forma al plástico y lo deslice por el skimmer para leer la banda magnética, la cual es almacenada en el propio dispositivo para posteriormente ser descargada en un ordenador.
Es importante saber que existen skimmers que capturan los datos de tarjetas de pago que soportan NFC (contactless). En este caso – y dependiendo de la implementación – la cantidad de datos capturados se puede limitar al PAN, la fecha de expiración y el nombre del titular.
¿Cómo protegerte si eres un usuario?
- Nunca entregues el plástico de la tarjeta a nadie
- Para realizar pagos, garantiza que tienes acceso directo a la terminal de pagos (TPV o datáfono) y que nadie desliza tu tarjeta en tu nombre
- En el caso de tarjetas que soportan contactless, se recomienda el uso de un elemento que bloquee la lectura de la tarjeta. Existen billeteras y bolsas de seguridad para estos casos.
- Si identificas alguna acción sospechosa, notifica al responsable del comercio y a la Policía
- Ofrece formación y concienciación a los empleados
- Notifica a la Policía si se detecta que un empleado está haciendo uso de estas herramientas
- Garantiza que, en los protocolos de pago con tarjeta, siempre sea el cliente quien inserte su plástico en el lector o lo acerque al lector de contactless.
Aplican las mismas recomendaciones en el uso de skimming en datáfonos / TPV.
Recomendaciones generales
Con el objetivo de concienciar a usuarios y comercios respecto a los riesgos de estas prácticas delincuenciales, el PCI SSC publicó en septiembre de 2014 el documento " Information Supplement – Skimming Prevention: Best Practices for Merchants". Este documento incluye diferentes ejemplos de ataques y acciones para protegerse.
Por otro lado, VISA ha publicado los siguientes documentos, orientados hacia la información y actuación preventiva en casos de skimming:
- VISA SECURITY ALERT: THREAT LANDSCAPE: SKIMMING IN A CHANGING ENVIRONMENT
- VISA SECURITY ALERT: THREAT LANDSCAPE: PIN PAD/POS SKIMMING
Autor: David Eduardo Acosta - CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L. A.
Departamento de Consultoría