lunes, 4 de octubre de 2021

El fraude en los pagos. Parte I: Los datos de tarjeta y los diferentes tipos de ataques

 1. Introducción

Esta publicación se compone de tres artículos. En este primer artículo, de carácter introductorio, se brinda información básica sobre las tarjetas de pago, los tipos de pago y los datos requeridos para efectuarlos. Es necesario introducir esta información al lector con el fin de asegurar un nivel de conocimiento mínimo. Una vez logrado este punto, se introducen los diferentes tipos de ataque a los que se encuentran expuestos los titulares de tarjetas de pago en el momento de utilizarlas.

1.1. Tipos de pago

Antes de empezar, es importante explicar las tipologías de pagos que hay cuando se habla de pagos realizados con tarjetas. Estos pagos se diferencian en dos tipos, los pagos presenciales (al que nos referiremos por sus siglas en inglés, CP, Card Present) y los pagos no presenciales, o pagos sin presencia de la tarjeta (CNP, Card Not Present). 

Los pagos CP son aquellos realizados de forma física en un comercio, es decir, cara-a-cara. En cambio, los pagos CNP son aquellos realizados de forma remota. Hoy en día, los más comunes y extendidos son los pagos CNP realizados en comercios electrónicos vía Internet, pero hay otros tipos, como podría ser, a modo de ejemplo no limitante, el pago por teléfono, denominado MOTO (Mail Order/Telephone Order).

Además, cabe destacar que las marcas de pago (Mastercard, VISA etc.) diferencian entre dos tipos de pagos CNP, los puntuales y los recurrentes. Se entiende como pago puntual todo aquel realizado en un momento específico, pagando íntegramente el importe en ese momento. Es el tipo de pago no presencial más común. En cambio, el pago recurrente, es aquel pago realizado de forma periódica, por ejemplo, el pago de un producto en diferentes cuotas, o bien modelos de negocio basados en la suscripción, cada día más extendidos gracias a servicios de plataformas que ofrecen contenidos bajo demanda (streaming de música, vídeo etc.)

2. Nociones básicas de los datos presentes en las tarjetas de pago

Las tarjetas de pago comprenden distintos tipos de datos, que se encuentran almacenados en la banda magnética y en el chip EMV. Además, algunos de estos también están impresos en el anverso y en el reverso de la tarjeta.
 

Figura 1.
Nota. La imagen representa el anverso y el reverso de una tarjeta de pago. Ha sido obtenida del documento PCI DSS Quick Reference Guide publicado por el Payment Card Industry Security Standards Council (PCI SSC), 2018,  (https://www.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf). Copyright 2009-2018 por PCI Security Standards Council, LLC.

A continuación, se introducen todos los datos relevantes para el presente artículo, teniendo en cuenta el glosario de definiciones publicado por el PCI SSC (2014a) y las definiciones contenidas en la infografía de reducción del fraude publicada por el mismo PCI SSC (2014b).
  • Primary Account Number (PAN)
    Se trata del número exclusivo de una tarjeta de pago que identifica el emisor y la cuenta específica del titular de la tarjeta. Generalmente, dicho número consta de 16 dígitos, e identifica a una tarjeta de pago. Aun así, puede variar en función de la marca de pago y la región en la que se opere.

  • Valor de validación de una tarjeta (CVV)
    El CVV es el valor que se utiliza para proteger la integridad de los datos de la banda magnética. Puede tomar distintos nombres, en función de la marca de la tarjeta:
    • JCB: CAV (Card Authentication Value)
    • Mastercard: CVC (Card Validation Code)
    • VISA: CVV (Card Verification Value)
    • American Express: CSC (Card Security Code)
Permite evidenciar cualquier alteración y/o falsificación cuando se realiza un pago mediante banda magnética. No debe confundirse con el CVV2, que es el número que está impreso en la tarjeta y que trataremos a continuación. El CVV nunca va impreso, y se encuentra únicamente en la banda magnética de la tarjeta.
  • Valor de validación de la tarjeta (CVV2)
    El CVV2 es el valor de validación utilizado para realizar operaciones no presenciales, como la compra por Internet. El código tiene una longitud de 3 cifras, y se asocia de forma exclusiva a cada plástico individual. Como se aprecia en la imagen, el código se encuentra impreso en el reverso de la tarjeta de pago. Dependiendo de la marca de la tarjeta, el código toma distintos nombres:
    • JCB: CAV2 (Card Authentication Value 2)
    • Mastercard: CVC2 (Card Validation Code 2)
    • VISA: CVV2 (Card Verification Value 2)
Toma especial relevancia el caso de la marca de pago American Express, y es que su código se denomina CID (Card Identification Number), se compone de 4 cifras, y se encuentra en el anverso de la tarjeta.
  • Valor de validación de la tarjeta (CVV3) o Valor de validación de la tarjeta integrado (iCVV)
    El chip EMV contiene un valor CVV dinámico, denominado CVV3 o iCVV. Esto hace que, cada vez que se realice una un pago con chip, el código sea diferente. En cambio, el código presente en la banda magnética, que como hemos visto se denomina CVV, es estático. 

  • Fecha de caducidad, o fecha de expiración
    Se trata de la fecha de vencimiento de la tarjeta de pago, a partir de la cual deja de ser válida.

3. Elementos requeridos para realizar un pago no presencial

Ya se ha introducido, pues, la información principal presente en las tarjetas de pago. Pero, ¿qué información debe tenerse en cuenta para realizar un pago CNP? Pues bien, para ello, se analizan las publicaciones de las marcas de pago VISA y Mastercard, para comprender su posicionamiento en relación con las transacciones no presenciales. Esto es importante porque pueden existir muchas particularidades (fraude, tipo de comercio, mercado en el que se opera, tipo de transacción etc.), por lo que se recomienda encarecidamente contactar con el banco adquiriente y/o con las marcas de pago con el fin de obtener información concreta y específica en cada caso.

Según las directrices publicadas por VISA (2018) se establece que, como mínimo, se deben solicitar los siguientes datos en pagos CNP:

  • Número de tarjeta (PAN)
  • Fecha de caducidad (Expiration Date)
  • Nombre del propietario (Cardholder Name)
  • La dirección de recepción del extracto bancario

Adicionalmente, y en contra de lo que se podría pensar, en estas mismas directrices se establece que el uso de herramientas que ayuden a mitigar el fraude se debe usar bajo disponibilidad. Se hace referencia explícita a cinco tipos de herramientas:

  • El uso del código CVV2
  • El uso del servicio denominado Address Verification Service (AVS), el cual únicamente se encuentra disponible en Estados Unidos y Canadá
  • El uso de Verified by VISA
  • El uso de Visa Checkout

Sobre el párrafo anterior, cabe destacar que VISA (2018) indica que el uso del código CVV2 puede ser obligatorio en algunos mercados para todas las transacciones CNP.

En el caso de la marca de pago Mastercard (2020b), también hay menciones específicas para el CVV2. Así pues, se establece en su documento de procesamiento de transacciones que en pagos CNP un comercio debe capturar y transmitir el valor CVV2 al emisor para su validación, con el fin de comprobar la validez de una tarjeta Mastercard. Además, es bien sabido que, de acuerdo con el PCI SSC, el valor del CVV2 no se puede almacenar más allá de la autorización de la operación; Mastercard aprovecha, también, para indicar en este documento que el CVV2 no debe ser almacenado por el comercio, su adquiriente, ni ningún proveedor de servicios.

Eso sí, en su documento maestro de reglas, Mastercard (2020a) indica que deben tomarse medidas adicionales para todas aquellas transacciones realizadas mediante pagos CNP, que estén relacionadas con el juego lucrativo. Entre otras alternativas, se encuentra el uso del código CVV2.

Llegados a este punto, toma especial relevancia el hecho que algunas tiendas no soliciten la información del CVV2 para realizar compras online. ¿Qué puede motivar una decisión de este tipo? Pues bien, uno de los motivos es el de facilitar y agilizar el proceso de pago, para permitir opciones como el pago en un solo clic.

Analizando el caso de una de estas tiendas, se observa que no solicita el CVV2, pero que como contrapartida tiene otros mecanismos en uso. En este caso, cada vez que se solicita el envío de un pedido a una nueva dirección, se solicita la confirmación del número de la tarjeta de pago (PAN) aunque esta ya esté vinculada a la cuenta del usuario. De esta forma, si un tercero accede de forma fraudulenta, no puede realizar compras si estas se envían a una dirección nueva; no utilizada anteriormente con las tarjetas almacenadas.

Figura 2
Mensaje de aviso que muestra la tienda analizada
Nota: El aviso se muestra si se intenta hacer una compra con un método de pago previamente registrado, pero a una nueva dirección postal. Captura de pantalla de elaboración propia realizada en la página web del marketplace.





 
Finalmente, hay que añadir que el precio de la transacción que asume un comercio, normalmente varía en función de las medidas de seguridad tomadas. Así pues, si hay menos medidas de protección ante el fraude, el precio por cada transacción es mayor. 

4. Obtención de datos de las tarjetas pago de forma fraudulenta

4.1. Ataques que pueden realizar los criminales en canales de pago no presenciales (CNP) para obtener datos fraudulentamente

Se acaban de analizar los elementos necesarios para realizar un pago no presencial. Estos elementos, por lo tanto, son los que necesitarán los ciberdelincuentes para poder acometer un fraude en un canal CNP. Además, cabe destacar que, normalmente, los titulares de la tarjeta desconocen que sus datos han sido exfiltrados hasta que no se percatan de un pago dudoso realizado con su tarjeta. A continuación, se describen algunos de los métodos más comunes que utilizan los cibercriminales para obtener datos de las tarjetas de pago cuando se utilizan en canales CNP:

  • Robo de datos en comercios producido por el almacenamiento inseguro de estos
    Hace unos años, cuando PCI DSS aún no estaba tan extendido, era muy común que los comercios tratasen el PAN, y todos los datos asociados de una tarjeta, como si de un dato cualquiera se tratara. Se almacenaban en, por ejemplo, documentos Excel, campos como el nombre del titular de la tarjeta, el número de la tarjeta y la fecha de caducidad, juntamente con el correo electrónico y otros datos…

    En definitiva, se recababan cuantos más datos mejor, y se almacenaban sin ningún tipo de medida especial. La seguridad informática no era tomada en consideración por muchas de estas empresas, y de serlo, esta era claramente insuficiente, lo que podía facilitar que los datos de tarjeta se exfiltraran y vendieran. Además, en algunos casos, también se tenía el correo electrónico del titular, de modo que se le podía enviar un ataque basado en ingeniería social con el fin de intentar obtener datos adicionales.  Un claro ejemplo, es el que nos explica Albors (2016), sobre los robos de bases de datos y documentos con contenidos referentes a los datos de tarjetas de pago de varias cadenas de restauración y hostelería.
  • E-Skimming:
    Para recabar los datos de una tarjeta, los ciberdelincuentes inyectan código malicioso en una página web legítima, con el fin de capturarlos mientras el usuario los introduce para efectuar el pago de un pedido.

  • Malware en equipos
    En los recientes tiempos, y con el aumento del volumen de operaciones realizadas en comercios electrónicos, así como el auge de la operativa bancaria online, han aparecido nuevos malware con la finalidad de captar el mayor número de datos posible.

    Un claro ejemplo es el que explicaba Carballo (2015) en una noticia que trata sobre la aparición de una nueva familia de malware que engaña a los usuarios de bancos con el fin de sustraer el dinero. Normalmente, la operativa de estos malware consiste en la captura, el almacenaje y el envío de la información de acceso a la banca electrónica, y del conjunto de datos asociados a las tarjetas de pago para su posterior venta en el mercado negro, con el fin de que un tercero los utilice para realizar pagos de forma fraudulenta.

  • Phishing y Smishing
    Una vía de ataque muy común es el phishing. En estos casos, se suplanta la página web de un banco o un comercio, intentando que la persona afectada no se dé cuenta del engaño.

    Ataque de phishing
    Figura 3
    Figura utilizada para ilustrar un ataque del tipo phishing
    Nota: Imagen obtenida bajo licencia Pixabay.
    https://pixabay.com/service/license/


    Para que la víctima acabe visitando la página web fraudulenta, normalmente se envía un correo electrónico falso, intentando suplantar a una entidad bancaria, o bien a un comercio electrónico.

    También se popularizó, hace tiempo, la publicidad falsa en los buscadores de Internet, y es que los anuncios se muestran antes que los resultados, y muchos titulares de tarjetas no prestan atención a este hecho. Los anuncios suelen ser legítimos, pero esto no siempre es así. Por este motivo, se debe prestar especial atención antes de hacer clic en este tipo de enlaces, y se recomienda utilizar únicamente los resultados reales de las búsquedas.

    Otra vía de ataque de ingeniería social muy común, y en auge en estos últimos tiempos, es el smishing, el cual se basa en el envío de mensajes de texto (SMS) falsos para conseguir que las víctimas entren en estas webs fraudulentas. En España se han visto multitud de casos con esta casuística, con un abanico muy grande de variedades, siendo las más comunes en los últimos tiempos, el uso de empresas de paquetería como señuelo, pero siendo extrapolable a las fuerzas y cuerpos de seguridad, campañas de hacienda etc. Destacan los siguientes:

    • En la siguiente imagen obtenida de Correos (2019), se puede observar el contenido de un SMS fraudulento que recibían los supuestos clientes, en el que se indicaba que un paquete estaba listo para ser entregado, pero que previamente se tenían que pagar las tasas aduaneras.

      Figura 4
      Mensaje SMS fraudulento
      Nota: Este SMS fradulento es el que se enviaba a las víctimas. Se trata de una captura de pantalla de elaboración propia, de parte del contenido del Tweet publicado por Correos, 2019, https://twitter.com/Correos/status/1169962772941201410


      • En uno de estos casos, el enlace del SMS llevaba a una página web falsa que pedía realizar un pago de una cuantía muy pequeña para no levantar sospecha. Ahora bien, la página de la pasarela de pago también era falsa, por lo que capturaban los datos introducidos: el nombre del titular, el número de tarjeta, la fecha de caducidad y seguramente el CVV2.
    • En la siguiente imagen obtenida de los Mossos d’Esquadra (2021), se puede observar el contenido de un SMS fraudulento que recibían los supuestos clientes, en el que se indicaba que un paquete estaba listo para ser entregado en un punto de entrega, y que ya se podía ver dónde ir a recogerlo.

      Figura 5
      Mensaje SMS fraudulento 2
      Nota:  Este SMS fraudulento es el que se enviaba a las víctimas. Se trata de una captura de pantalla de elaboración propia, de parte del contenido del Tweet publicado por los Mossos d’Esquadra, 2021, https://twitter.com/mossos/status/1367532028019761162


      • Este caso era mucho más sofisticado, y es que según el informe publicado por la Agència de Ciberseguretat de Catalunya (2021), al hacer clic en el enlace se indicaba al usuario que para poder obtener la información era necesario instalar la aplicación móvil de la empresa de paquetería. Se redirigía al usuario a una página web fraudulenta, y el instalador del malware estaba escondido en otras APK de apariencia genuina. Cuando los usuarios descargaban e instalaban estas APK en sus dispositivos, el malware también se instalaba, y pedía muchos permisos en el dispositivo móvil. Una vez instalada, esta aplicación tenía como uno de sus objetivos, recabar las credenciales bancarias de la víctima. Según la publicación de la misma agencia, algunos malwares son capaces de escuchar las notificaciones entrantes, leer y escribir SMS, hacer llamadas, y transmitir toda la lista de contactos de las víctimas a su centro de control.

  • Pharming
    Si bien los ataques por pharming y phishing son muy similares, motivo por el cual se acostumbran a confundir, la verdad es que tienen una diferencia crucial, y es que en ataques pharming, el usuario puede estar introduciendo una URL de una página web correctamente (y, por lo tanto, debería acceder a la web real) pero los ciberdelincuentes redirigen el usuario a una página web falsa.

    Una forma de llevar a cabo esta práctica es mediante el envenenamiento del servidor DNS, o la explotación de las posibles vulnerabilidades que pudieren tener estos servidores. De este modo, al introducir el nombre de una página web correcta, la correlación entre la dirección IP y el nombre de la página web (conocido como dominio o hostname) es alterada, y los usuarios pueden ser redirigidos a un sitio web que suplante al real. Si el titular no se percata de esto, seguramente acceda a su área de cliente introduciendo el usuario y la contraseña; brindando esta información a los atacantes. Y, no solo esto, los atacantes pueden modificar la operativa de la página web, con el fin de solicitar otro tipo de información bajo el pretexto de validar si esta es correcta, o simplemente de confirmarla.

    Otra forma de realizar pharming es modificando el fichero de hosts presente en los sistemas operativos. Un fichero de hosts contiene la correlación entre una dirección IP y un dominio. En primera instancia, el sistema busca la entrada en este fichero, de forma que, si la encuentra, no se hace la solicitud al servidor de DNS. A continuación, puede apreciarse el aspecto de un fichero de este tipo en el sistema operativo Microsoft Windows:

    Figura 6
    Fichero de hosts presente en Microsoft Windows
    Nota: Se trata de una captura de pantalla de un fichero de hosts original, presente en todos los ordenadores con el sistema operativo Microsoft Windows. Captura de pantalla de elaboración propia.


    Existen un conjunto de medidas preventivas para intentar evitar la conexión hacia páginas web sospechosas que ya sean conocidas. Para ello, The Ultimate Hosts Blacklist (2021) pone a disposición de los usuarios una versión del archivo de hosts que contiene diferentes dominios sospechosos o fraudulentos, y los vincula con la IP que hace referencia al localhost (127.0.0.1). De este modo, nunca se acaba accediendo a la página fraudulenta porque el ordenador no obtiene la dirección IP real.

    Como puede apreciarse en la siguiente imagen, la versión de dicho fichero accedida en el momento de realizar este artículo contenía más de 300.000 entradas.

    Figura 7
    Fichero de hosts The Ultimate Hosts Blacklist
    Nota:  Captura de pantalla de elaboración propia, que contiene una parte del fichero hosts.windows, Ultimate Hosts Blacklist, 2021, (https://hosts.ubuntu101.co.za/hosts.windows ). Copyright 2020 Ultimate Hosts Blacklist - @Ultimate-Hosts-Blacklist Copyright 2017, 2018, 2019, 2020 Mitchell Krog - @mitchellkrogza Copyright 2017, 2018, 2019, 2020 Nissar Chababy - @funilrys


    Como se ha visto, la variedad de ataques en el mundo del CNP es amplia. Si bien la mayoría de estos ataques no son explícitos del mundo de los medios de pago, pues son usados con diferentes fines; no se debe olvidar que el objetivo final de cualquier atacante es la obtención de un rendimiento económico.

4.2. Ataques que pueden realizar los cibercriminales en canales de pago CP para obtener datos de forma fraudulenta

Los pagos presenciales, como se ha visto previamente, son aquellos realizados de forma física en los comercios. Podemos pensar que, al hacer transacciones de forma física, la seguridad es mayor, pero, no obstante, existen gran variedad de ataques enfocados al robo de los datos o a realizar transacciones maliciosas.

Actualmente, hay tres tipologías de pagos presenciales, que se detallan a continuación:

  1. Pago con chip EMV: El pago con chip EMV se encuentra implementado en varias regiones, por ejemplo, en Europa. En estos tipos de pagos, pues, se inserta la tarjeta en un TPV, y para confirmar el pago, es necesario introducir el código PIN.

  2. Pago sin contacto (Contactless): Desde hace unos años, los pagos sin contacto se han hecho muy populares, ya que simplifican todo el proceso de pago. Para realizar un pago, únicamente se tiene que acercar la tarjeta a un TPV.

    Este tipo de pago se ha popularizado, todavía más, con la pandemia mundial provocada por el SARS-CoV-2, ya que en un primer momento no se sabía si la transmisión del virus se producía por aerosoles o por contacto físico con superficies infectadas. 

    A corto plazo, este tipo de pago experimentará un cambio, y es que las marcas de pago han puesto en marcha programas para permitir que se puedan aceptar pagos sin contacto utilizando un teléfono móvil, de modo que, en un futuro próximo, es de esperar que algunos comercios utilicen móviles en lugar de los típicos TPVs. En función de la marca de pago, esta casuística recibe varios nombres. Los más comunes son, Tap to Phone, utilizado por VISA, y Tap on Phone, utilizado por Mastercard.

  3. Pago con banda magnética: En algunas regiones, como EE. UU., todavía se siguen utilizando los pagos con banda magnética, y la implementación de los chips EMV se encuentra en curso.
Como se acaba de explicar, ahora mismo hay en uso tres tipologías de pagos presenciales, pero esto no siempre ha sido así. Y es que, durante mucho tiempo, el único pago posible era con banda magnética. Debido a que con este tipo de pago se cometían muchos ataques, se buscaron medidas de mejora, con el fin de intentar reducirlo, y, con ello, ayudar a que las tarjetas de pago tuvieran una mayor aceptación y adopción.

En el momento de interactuar con el TPV para realizar un pago de alguna de las formas mencionadas anteriormente, un titular de una tarjeta puede ser víctima de los siguientes tipos de ataques:
  • Skimming y/o shimming
    La mayoría de los dispositivos de skimming roban los datos de una tarjeta de pago mediante la captura de los datos almacenados en la banda magnética. Además, no solamente se capturan los datos de la banda magnética, también se intenta capturar el código PIN tecleado, ya que es necesario para poder operar con el cajero y retirar dinero. Para ello, o bien se capturan las teclas pulsadas con un teclado falso debidamente colocado encima del teclado original, o bien se obtiene el valor del código mediante el uso de cámaras estenopeicas; cámaras fotográficas sin lente. El procedimiento puede consistir en instalar una cámara cerca del cajero automático para grabar al propietario de la tarjeta mientras introduce el valor del PIN, o bien mediante el uso del teclado falso.

    Los dispositivos de skimming se acostumbran a encontrar instalados en cajeros automáticos (ATM) y en terminales de pago no atendido, por ejemplo, en gasolineras. En el vídeo que se muestra a continuación, publicado por la cadena americana CBS Miami (2016), puede observarse como unos ciberdelincuentes instalan un dispositivo skimming en una de las típicas cajas automáticas presentes en el interior de una cadena de alimentación:

    https://youtu.be/LSQ_d7hbOsE?t=16

    En cambio, en los ataques de shimming, la operativa se basa en introducir un elemento intermedio entre el chip de la tarjeta de pago y el lector presente en el TPV o en el cajero ATM, capturando todos los datos mientras son transferidos. Funciona de la siguiente forma:

    Figura 8
    Conjunto de acciones que podría llevar a cabo un ciberdelincuente con el fin de consumar el fraude.
    Nota: La figura representa el conjunto de pasos que puede llevar a cabo un ciberdelincuente con el fin de utilizar los datos capturados de forma fraudulenta en un pago con chip. La figura es de elaboración propia, y las imágenes que la conforman han sido obtenidas de un banco de imágenes bajo la licencia Pixabay. https://pixabay.com/service/license/


    1- Los ciberdelincuentes pueden obtener los datos del chip contenidos en una tarjeta, e intentar utilizarlos. Para ello, graban una copia de los datos obtenidos en un plástico con banda magnética. 
    2- Finalmente, intentan realizar alguna compra fraudulenta deslizando la tarjeta, es decir, haciendo uso del modo que permite hacer pagos utilizando únicamente la banda magnética.
    3- Pero el valor iCVV del chip difiere del valor CVV que contiene la banda magnética. Así pues, si los bancos realizan dicha comprobación, debieren ser capaces de detectar que la información facilitada en la transacción no es válida, y, por lo tanto, rechazarla.

    Si bien los usuarios pueden tomar medidas para intentar minimizar el riesgo de fraude en estas operativas, la mayor responsabilidad es de los comercios y servicios ATM. El estándar PCI DSS, en su versión 3.2.1 (2018) establece en el requerimiento 9.9 que los dispositivos que capturan datos de tarjetas de pago mediante interacción física deben ser protegidos, ya que es importante garantizar que no hayan sido modificados por personas no autorizadas. Este requerimiento, a su vez, se desgrana en tres subrequerimientos, el 9.9.1, 9.9.2 y 9.9.3. A alto nivel, lo que establecen estos subrequerimientos es lo siguiente:
    • Que debe mantenerse una lista actualizada de este tipo de dispositivos, contemplando un mínimo de campos.
    • Que deben inspeccionarse estos dispositivos de forma periódica, con el fin de detectar alteraciones o posibles sustituciones (cambio de un TPV por otro de forma fraudulenta e ilegítima)
    • Que se forme al personal para que puedan detectar indicios de alteración y/o de sustitución.
  • Card Trapping
    El card trapping consiste en dejar la tarjeta atrapada en el lector, de modo que el usuario no pueda recuperarla. El ciberdelincuente, posteriormente, recupera la tarjeta y la utiliza de forma fraudulenta. Además, en combinación con los métodos comentados anteriormente, el ciberdelincuente puede haber capturado el valor del PIN haciendo uso de una cámara o de un teclado falso.

    En las noticias publicadas por los medios de comunicación se pueden encontrar varios ejemplos de víctimas que han padecido este tipo de fraude. En el siguiente vídeo, publicado por la cadena CTV News (2018), puede observarse que unos ciberdelincuentes vaciaron la tarjeta de una víctima haciendo uso de este método.
    https://youtu.be/Q7rj0hre08Y?t=44 

  • Otras vías posibles de ataque
    Captura no autorizada de datos (contactless):
    La captura no autorizada de los datos usados en pagos contactless de una tarjeta de pago utilizando una aplicación móvil o un dispositivo creado a propósito para este fin. Se trata de una práctica compleja, que no es objeto del presente artículo.

    Transmisión de datos en claro (pago online y/o físico): La transmisión de datos de forma insegura puede ser una vía de captura no autorizada de datos, mediante el empleo de tecnologías que permitan el denominado sniffing (la captura del tráfico de red).

    Tarjeta en posesión de un tercero de forma fraudulenta (robada, encontrada en la calle etc.): En caso de robo o pérdida de una tarjeta, el contactless puede facilitar el hecho de cometer fraude para personas que no posean conocimientos técnicos, o que no tengan planificada, con anterioridad, la realización de un fraude. Ya que, si se encuentran con una tarjeta de pago presuntamente perdida, basta con ir a un establecimiento y realizar un pago no superior a los 20€. Cabe destacar, adicionalmente, que con las medidas anti-covid este umbral fue modificado. Por poner un ejemplo, Beamount (2020) indica en una nota de prensa de Mastercard que la marca de pago permitió incrementar el límite del importe contactless en 29 países. En España, este importe pasó de los 20 a los 50€. Reino Unido fue uno de estos países, y en su caso el límite pasó de los 30£ a los 45£. Pues bien, según UK Finance (2021), a partir del 15 de octubre de 2021 el límite pasará a ser de 100£ (aproximadamente 120€ al cambio).

    Cabe destacar que, si la red de un comercio sufre un ciberataque y es vulnerada, esto también puede llegar a poner en jaque las transacciones realizadas de forma presencial (CP) por los clientes, teniendo en cuenta variables tales como la seguridad y el proceso de pago implementado, las exigencias que los bancos, las marcas de pago y las leyes pudieren interponer en una región geográfica en concreto, así como los estándares en uso y las validaciones de cumplimiento realizadas.

    De hecho, en el boletín de VISA (2020) se explica un ataque de este tipo, ocurrido en un supermercado de Estados Unidos de América, en el que todos los TPV tenían activo el uso del chip EMV. Según el mismo reporte, los datos que pudieron capturar los ciberdelincuentes fueron los siguientes:

    Figura 9
    Anverso de una tarjeta de pago
    Nota: Figura que muestra el anverso de una tarjeta de pago creada por ordenador. Se pueden apreciar los campos del titular de la tarjeta, el PAN, la fecha de caducidad y el chip. La imagen utilizada para elaborar la figura ha sido obtenida de un banco de imágenes bajo la licencia Pixabay. https://pixabay.com/service/license/







Con esto concluimos este primer artículo de la serie, cuyo objetivo era identificar conceptos claves y posibles ataques del mundo de la industria de pago. En los próximos artículos, se analizará el coste económico real que tiene el uso no autorizado de las tarjetas de pago y la banca electrónica por parte de un cibercriminal, a la vista de las publicaciones realizadas por la asociación comercial UK Finance. Así mismo, también se introducirán las mejoras que han ido incorporando las tarjetas a lo largo del tiempo, y algunos de los cambios que han tenido que introducir las entidades financieras debido a la entrada en vigor de la directiva europea de pagos (PSD2), en favor de la seguridad y la prevención del fraude.

Referencias

Agència de Ciberseguretat de Catalunya. (2021). Comunicat de ciberseguretat Smshing – FluBot. https://ciberseguretat.gencat.cat/web/.content/PDF/Avisos/Comunicat-de-ciberseguretat-Smishing-FluBot_09032021.pdf

Albors, J. (2016). Nuevos casos de robos de datos de tarjetas de crédito en hoteles y restaurantes. Protegerse.
https://blogs.protegerse.com/2016/06/30/nuevos-casos-de-robos-de-datos-de-tarjetas-de-credito-en-hoteles-y-restaurantes/

Beamount, R. (2020). Mastercard enables Contactless limit raise across 29 countries; and champions permanent increase. Mastercard.
https://www.mastercard.com/news/europe/en-uk/newsroom/press-releases/en-gb/2020/march/mastercard-enables-contactless-limit-raise-across-29-countries-and-champions-permanent-increase/

Carballo, J. (2015). Peligroso malware engaña a clientes de bancos españoles. ComputerHoy. https://computerhoy.com/noticias/software/peligroso-malware-engana-clientes-bancos-espanoles-38175

CBS Miami. (2016). Self Checkout Terminals Latest Target For Card Skimmers. Youtube. https://www.youtube.cat/watch?v=LSQ_d7hbOsE

Correos [@Correos]. (2019). ¡ALERTA DE PHISING! Algunos de nuestros clientes están recibiendo estos SMS suplantando la identidad de #Correos. Por favor, no pinches ningún enlace, no des tus datos y elimina el mensaje. #NoPiques [Tweet]. Twitter.
https://twitter.com/Correos/status/1169962772941201410

CTV News. (2018). 17-year-old loses savings in ATM 'card trapping' scheme. YouTube. https://www.youtube.cat/watch?v=Q7rj0hre08Y

Mastercard. (2020a). Mastercard Rules.
https://www.mastercard.us/content/dam/mccom/global/documents/mastercard-rules.pdf

Mastercard. (2020b). Transaction Processing Rules.
https://www.mastercard.us/content/dam/mccom/global/documents/transaction-processing-rules.pdf

Mossos d’Esquadra. [@mossos]. (2021). Reps un SMS i et resulta sospitós perquè no correspon a res que hagis demanat? Elimina’l i sobretot no segueixis cap link ni donis cap dada #StopSmishing @ciberseguracat [Tweet]. Twitter.
https://twitter.com/mossos/status/1367532028019761162

PCI SSC. (2014a). Glosario de términos, abreviaturas y acrónimos (3.0). https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3_Glossary_ES-LA.pdf

PCI SSC. (2014b). Increasing Security and Reducing Fraud with EMV Chip and PCI Standards. https://www.pcisecuritystandards.org/pdfs/PCI-EMV-Final1.pdf

PCI SSC. (2018). Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2.1.
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf

The Ultimate Hosts Blacklist. (2021). Ultimate.Hosts.Blacklist. GitHub.
https://github.com/Ultimate-Hosts-Blacklist/Ultimate.Hosts.Blacklist

UK Finance. (2021). Contactless limit to increase to £100 from 15 October. https://www.ukfinance.org.uk/press/press-releases/contactless-limit-increase-100-15-october

VISA. (2018). Card Acceptance Guidelines for Visa Merchants.
https://www.td.com/ca/en/business-banking/documents/pdf/card-acceptance-guidelines-merchants.pdf

VISA. (2020). Visa Security Alert. New malware samples identified in point-of-sale compromise.
https://usa.visa.com/dam/VCOM/global/support-legal/documents/visa-security-alert-new-malware-samples-identified-pos-compromise.pdf 


Autor: Marc de Tébar - CISM, PCIP, MCAF, SFPC
Dpto. Consultoría