Entre la segunda quincena de diciembre y los primeros diez días de enero se movieron dentro del país, unos 22 millones de turistas y excursionistas, según datos que se desprenden de un informe difundido esta semana desde la Confederación Argentina de la Mediana Empresa (Came). Más allá del beneficio comercial que esto representa para la hotelería y comercios, hay otro rubro, no listado en las estadísticas, que aprovecha el movimiento turístico para maximizar sus ganancias: las bandas dedicadas a clonar tarjetas de crédito y débito. Estas organizaciones delictivas aprovechan el desplazamiento de turistas para hacerse con la información de plásticos de todo el país, vaciando cuentas corrientes y cajas de ahorro mediante extracciones en cajeros automáticos, comprando a través de internet e incluso vendiendo los datos a organizaciones transnacionales que las comercializan en lotes en la dark web.
La obtención, copia, falsificación y tráfico de la información financiera proveniente de tarjetas de crédito se conoce como carding, un tipo de ciberdelito muy extendido en nuestro país. Mes tras mes se desbaratan bandas dedicadas a este tipo de fraude en casi todas las provincias, integradas tanto por argentinos como por delincuentes de Europa Oriental, América Latina y -sobre todo- Brasil. Es que Argentina es una verdadera tierra de promisión para este tipo de delitos, ya que las bajas penas sumado a que se trata de un delito excarcelable, garantizan a estas bandas una libertad de acción que difícilmente encuentren en otro país. Estos criminales pocas veces suelen terminar su carrera en una cárcel, y esto recién a partir de la tercera causa penal.
Los delincuentes utilizan diferentes herramientas y técnicas para obtener la información de las tarjetas de crédito y débito, algunas muy sencillas y de baja tecnología como tomar una foto de ambas caras del plástico, hasta elaborados dispositivos electrónicos como lectores de banda magnética, skimmers, pequeñas cámaras de video ocultas y posnets adulterados. También lanzan extensas campañas de phishing y vishing con las que se hacen de los datos de los desprevenidos. A continuación, el detalle de cada uno de estos métodos.
Phishing: una campaña de phishing habitualmente consiste en el envío masivo de correos electrónicos que suplantan la identidad de entidades de confianza como bancos o sitios de comercio electrónico. A través del engaño y alegando problemas técnicos o de seguridad, redirigen al usuario a sitios maliciosos para intentar hacerse de contraseñas y datos de las tarjetas de crédito.
Vishing: Como el phishing, pero a través de una llamada telefónica. El término deriva de la unión de las palabras en inglés “voice” y “phishing”. Un delincuente llamará por teléfono a la víctima personificando a personal de un banco o una empresa emisora de tarjetas de crédito y con engaños intentará obtener números de tarjetas de crédito, token digital o claves SMS para realizar transacciones en nuestro nombre.
Una foto: Si hay algo que tomamos con total normalidad, es el hecho de entregar nuestra tarjeta y DNI a un mozo al momento de pagar en un bar o restaurante, para luego perderlas de vista por largos minutos hasta que en algún momento regresa. En este acto de pura fe, pocas veces nos detenemos a pensar que algún empleado malintencionado podría estar fotografiando con su celular ambas caras de nuestra tarjeta y documento para luego realizar compras en alguna web de su preferencia a nuestra cuenta. Esto ocurre más de lo que nos gustaría, y a falta de un posnet inalámbrico que nos brinde seguridad, la manera de protegerse es tan simple como antipática: llevar personalmente nuestra tarjeta hasta la caja y que nos cobren allí, delante de nuestros propios ojos.
Lectores de banda magnética: la banda electromagnética de las tarjetas de crédito han sido blanco de los delincuentes desde su aparición. En esta pequeña tira almacena el número de tarjeta, nombre y apellido del titular, fecha de vencimiento, código de servicio y código de seguridad; datos más que suficientes como para clonar la tarjeta y utilizarla en comercios, web o venderla a otras organizaciones criminales. Estos lectores, económicos y fáciles de conseguir, suelen ser utilizados por comerciantes infieles para -en un descuido nuestro- deslizar rápidamente la tarjeta y copiar los datos. También suelen ubicarse en la puerta de los cajeros automáticos, donde los clientes tienen que deslizar su tarjeta para poder acceder. Es importante tener en cuenta que se puede abrir la puerta de un cajero con cualquier tarjeta provista de una banda magnética (carnet de club, tarjeta de medicina prepaga, tarjetas de acceso, gift cards) y no necesariamente la que vayamos a utilizar para retirar dinero, por lo que este simple hecho puede brindarnos un paso extra de seguridad. Los lectores de banda magnética comerciales no son propiamente skimmers, pero pueden utilizarse como tal.
Skimmer: Es un dispositivo que captura tanto la información de la banda magnética como el PIN que introduce el cliente al utilizar el cajero automático. El lector suele estar oculto en la boca de ingesta de la tarjeta, donde lee la información de la tarjeta y la almacena en otro dispositivo. Paralelamente, una cámara en miniatura oculta en algún panel del cajero automático captura el PIN al ser ingresado. Ambos sistemas trabajan con un registro horario que permite vincular posteriormente los datos recuperados de la banda magnética con el PIN registrado por la cámara de video. Con esta información los delincuentes pueden clonar las tarjetas y utilizarlas para retirar dinero de las cuentas, extraer adelantos, tomar créditos preaprobados y cambiar el PIN. Una manera sencilla de protegerse consiste simplemente en cubrir con la otra mano o la billetera cuando se introduce el código, sin embargo algunos delincuentes suelen superponer un falso teclado numérico sobre el original, capturando de esta manera el PIN al ser ingresado. Si no detectamos ninguna anomalía en el cajero a tiempo, es imposible protegernos de este tipo de ataque. Las tarjetas con chip, si bien ofrecen una seguridad superior, también pueden ser copiadas gracias a la banda magnética que aún convive con esta tecnología.
Los skimmers son difíciles de detectar pero a través de una inspección física y visual pueden ser descubiertos. Hay que tener en cuenta que un cajero automático es un dispositivo muy robusto, por lo que cualquier pieza que parezca algo suelta, protuberante o fuera de escuadra debe llamarnos la atención. No seamos tímidos al momento de chequear si la boca de ingesta de la tarjeta es lo suficientemente sólida o si el panel del teclado numérico sobresale más que lo normal, no dudemos en manipularlos bruscamente en busca de movimientos extraños. Si hay otros cajeros al lado, comparemos uno con otro en busca de discrepancias. Preferentemente, elijamos cajeros en zonas de alto tránsito, ya que la instalación y posterior extracción de los skimmers lleva cierto tiempo, por lo que los delincuentes preferirán zonas más alejadas para trabajar con tranquilidad.
Una buena costumbre es revisar periódicamente los movimientos de nuestras cuentas y plásticos a través del homebanking. Si descubrimos que fuimos víctima de este tipo de fraudes, no nos desesperemos y denunciemos el hecho lo antes posible tanto al banco como al emisor de la tarjeta. La ley está de nuestro lado y como usuarios tenemos 30 días para realizar el reclamo para que nos reintegren los cobros desconocidos.