sábado, 3 de diciembre de 2016

Fraude cibernético. Clonación virtual de tarjetas de crédito.

La capacidad de distribuir el procesamiento de datos simultáneamente en muchos computadores del internet, los actuales esquemas unitarios o aislados de seguridad informática y el poco aprovechamiento de recursos biométricos, han dado origen a la Clonación virtual de tarjetas de crédito.
Hace unos meses mi esposa, empezó a detectar consumos extraños en una de sus tarjetas de crédito con chip (montos relativamente pequeños en establecimientos locales), volviéndose estos cada vez más frecuentes.

Como era posible, si siempre estamos pendientes de las diversas modalidades de fraude o engaño que se pueden producir al usar una tarjeta de crédito y ella nunca descuida la misma, además la tarjeta en mención solo la utilizaba en las cajas de los supermercados.

Al realizar las averiguaciones en la entidad bancaria, nos dimos con la sorpresa que los consumos extraños, siempre se daban en la modalidad de compra por internet, es decir a través de las tiendas virtuales que ahora existen por cientos de miles en todo el mundo.

Pero como era posible ello, si la tarjeta siempre estaba en su poder y para realizar compras por Internet hay que ingresar un código denominado CVV de tres dígitos, que por lo general viene al reverso de la tarjeta y que no es clonable, pues solo está a conocimiento del portador y no forma parte de las señales impresas, banda magnética o chip incorporado.

Rastreando un poco de literatura especializada me encontré con esta investigación publicada por la prestigiosa revista journal IEEE Security & Privacy "Distributed Attack Graph Generation" (ver: https://www.computer.org/csdl/trans/tq/2016/05/07087377-abs.html) y muy bien también en https://techxplore.com/news/2016-12-seconds-hack-credit-card.html

En resumen en ambos artículos, enfrentan la realidad de que se pueden identificar todos los códigos de una tarjeta de crédito o débito, disponiéndose con ello de información suficiente, para realizar compras por Internet, es decir se ha logrado una clonación virtual de la tarjeta, este proceso está basado en técnicas de prueba – error,  al difundir datos en una lista finita de sitios web que sin saberlo se prestan para tal propósito.

La manera como estos cibercriminales, actúan para poder identificar todos los códigos de una tarjeta de crédito es conociendo los siguientes aspectos:
  • Identificar sitios web a nivel mundial, que implementen pasarela de pago en línea, mediante tarjetas de crédito o débito, con consultas intermedias de datos es decir  identificando errores cometidos al ingresar datos para que el usuario los pueda corregir.
  • Reconocer que las tarjetas de crédito o débito solo requieren de tres valores para solicitar un cargo de pago a su cuenta a través de compras en Internet;  (1) El número de tarjeta, (2) El mes y año de vencimiento y (3) El código CVV (código de seguridad de tarjeta), este último solo de conocimiento del portador.
  • Haber reconocido que el modelo de seguridad actual de compras por Internet, no detecta múltiples solicitudes de pago no válidos con el mismo número de tarjeta en diferentes sitios web, pues los niveles de seguridad solo están basados en no vulnerar el acceso a través de un solo sitio web de pago.

Establecidas las condiciones anteriores, ahora el reto de los cibercriminales está en poder identificar cada uno de los códigos de la tarjeta y para ello proceden bajo la siguiente lógica:
  •      Los números de identificación de una tarjeta de crédito, son muy fáciles de obtener pues son visibles, una simple fotocopia, foto o video sería suficiente para obtenerlo, pero además siguen ciertos patrones; según la región, los emisores u otros criterios de agrupamiento. Esto  último permitiría una vez constituido el número de la tarjeta lanzarlo a un portal de pago en línea y esperar la respuesta de su vigencia.
  •      Con el número de tarjeta vigente identificado, el siguiente valor a obtener es el mes y año de caducidad, el cual lo mismo que en el caso del número de identificación de la tarjeta, muchas veces es visible. Pero este valor también podría ser obtenido, si ejecutamos un algoritmo de combinaciones a través de un robot de automatización de envió/recepción de datos, y para ello solo bastaría 60 intentos (combinaciones; año-mes) pues por lo general los emisores, normalmente emiten las tarjetas en periodos de vencimiento no mayores a 60 meses.
  •      Finalmente  identificar el código de seguridad de la tarjeta (CVV), donde las combinaciones solo son de 1000 posibilidades (desde el valor 000 al 999), y en conjunto a los dos valores anteriormente ya encontrados, y nuevamente aplicando la automatización de un robot de envió/recepción de datos en una lista finita de sitios web con pasarelas de pago, es muy probable completar la identificación de todos los códigos de una tarjeta válida para realizar compras a través de Internet.


La posibilidad de cometer este tipo de fraude cibernético, empleado la “Clonación virtual de tarjetas de crédito o débito”, para realizar compras a través de Internet, está basado en la  vulnerabilidad de los actuales niveles de seguridad, permisibles en los sistemas de control de emisores de dichas tarjetas, los cuales solo se centran en asegurar lo que ocurra en cada una de las pasarelas de pago las cuales en promedio permiten hasta 10 intentos fallidos, antes de bloquear el origen de la solicitud (computadora, laptop o teléfono) desde donde se invoca la validación de códigos y se olvidan de la red internet en su conjunto.

Bajo las condiciones descritas anteriormente solo se requeriría en promedio de unos 150 sitios webs con pasarelas de pago y un máximo de 9 intentos por cada sitio, para lograr cubrir 1350 combinaciones distribuidas a nivel mundial, que no generan sospechas de fraude, pero que si permiten obtener los códigos de una tarjeta de crédito o débito, que posteriormente será empleada para cometer fraude cibernético.

Por ello no está demás tomar las siguientes precauciones y evitar las molestias de estar reclamando o peor aún quedarse con deudas que no generamos.
  • No permitir que fotocopia, fotografiar o que tomen un video de su tarjeta de crédito pues en los datos impresos ya están dos de estos códigos.
  • No enviar referencias de códigos de la tarjeta de crédito o datos personales a través de correos no encriptados.
  • No realizar compras a través de sitios no conocidos o que no presenten niveles de seguridad mínimos (SSL), para ello hay que asegurarse que el sitio web parte de una dirección Web que inicie con las siglas https://... y se vea la imagen de un candado cerrado.
  •  No realizar compras a través de WI- FI o conexión a Internet pública (cabinas o cibercafés), pues los datos son fácilmente interceptados.
  • Preferir usar para compras en internet las tarjetas de crédito a las de débito, por los niveles de cobertura ofrecidos y sobre todo no comprometen nuestro efectivo disponible, frente a una venta fraudulenta.
  • Si su tarjeta es de chip, tiene que ser ingresada solamente en el POS, Nunca pasada por la banda magnética.
  • De modo alternativo vale la pena emplear  otros medios de pago como: Tarjetas de compra virtuales (PayPal,  2Checkout,  u otros), Trustly (transferencia bancaria directa) o el tradicional y aún muy empleado Pago contra-reembolso.
  • Y sobre todo acostumbremos a revisar y validar periódicamente los movimientos de registrados en los estados de cuenta de tu tarjeta de crédito, confirmando sobre todo los montos pequeños.