#MundoHacker: Del skimming al shimming en el robo de datos de tarjetas

atm

Las técnicas de skimming son tan viejas como tiempo llevamos utilizando datáfonos y cajeros automáticos en nuestras ciudades.

Básicamente hablamos de un conjunto de técnicas y herramientas que permiten a un cibercriminal bien clonar la tarjeta, bien robarle las credenciales de acceso para todo lo que el mundo del cibercrimen puede hacer con ello (usurpación de identidad, muleros, compras ilegales, reventa a otros cibercriminales…).

Y por supuesto, conforme la tecnología ha ido avanzando tanto las técnicas como las herramientas han hecho lo propio. Quería hacer un recorrido por algunas de las más habituales para que entienda el riesgo que suponen, con las contramedidas que podemos tomar como usuario y como empresa/banco.

skimming

Del skimming al shimming

Básicamente estamos ante ataques que tienen como objetivo hacerse con el control de los datos de una tarjeta de crédito/débito. Habitualmente en cajeros automáticos, pero en la práctica en cualquier hardware encargado de realizar pagos con tarjeta (datáfonos, TPVs, picas del metro/bus, gasolineras…).

Existe una verdadera industria encargada de ocultar las herramientas necesarias para realizar este tipo de ataques.

  • En la imagen superior podemos ver un teclado completo que se pega encima del teclado de un cajero, normalmente acompañado de una solapa que se coloca justo delante del lector de tarjetas. Apenas sobresale unos milímetros, y el cliente podrá seguir utilizando el cajero sin ser consciente de que de paso le están robando los datos.
  • Otras veces se recurre a cambiar toda la parte superior e inferior del cajero para colocar una cámara que graba nuestras acciones, de manera que el atacante puede luego revisar el vídeo para hacerse con la contraseña.

Ver en Youtube (EN)

  • Existen también sistemas de clonado de tarjetas (como se muestra en el vídeo superior), que sobre todo son muy famosos en países de América donde generalmente no piden el NIF del comprador ni realizan chequeos del CVV cuando una persona quiere realizar una compra. Simplemente pasas la tarjeta por esta máquina (que bien se puede confundir con un datáfono cualquiera, o ocultarlo detrás del propio datáfono) y ya tienes los datos para más adelante clonarla (el propio dispositivo ofrece la opción de lectura y posterior escritura en una tarjeta virgen; otras veces la información se envía directamente a los “encargados”, que son los que las clonan).

Darse cuenta de la existencia de estos dispositivos es bastante complicado para un ojo que no esté entrenado, y ahí está el problema.

En este vídeo de ABC News se puede ver varios de estos ataques en acción:


Ver en Youtube (EN)
 

El paso siguiente era miniaturizar lo máximo posible las herramientas de skimming para que sean aún más complicadas de reconocer, y así es como han aparecido los “shimmers”.

Básicamente un shimmer no deja de ser una placa delgadísima (más o menos de la mitad del grosor de una tarjeta estándar) que se coloca DENTRO del lector de tarjetas, lo que hace que para el cliente sea sencilla y llanamente ilocalizable. Por su tamaño, puede ser insertada desde fuera del ATM (normalmente despegando la pestaña protectora que facilita al usuario insertar la tarjeta y volviéndola a pegar instantes después). La operación apenas les lleva unos segundos, y puede por tanto pasar desapercibida incluso ante las cámaras de seguridad.

El chip, por supuesto, se encarga de robar los datos de la tarjeta. Y que tenga constancia, la mayoría de estos shimmers bloquean el propio lector del TPV (EN), lo que lo hace inservible (el cajero devolverá la tarjeta a su dueño argumentando que no consigue leerla, y el cliente seguramente se vaya a otro cajero cercano para realizar sus operaciones sin ser consciente del ataque).

shimmmer

¿Qué contramedidas podemos llevar a cabo para defendernos del skimming/shimming?

Hay algunos puntos que me gustaría señalar en esta línea:

  • A nivel estatal: Los bancos y proveedores de lectores de tarjetas argumentan que no es per sé una vulnerabilidad de sus sistemas, y en parte tienen razón. Un ataque de este estilo no serviría de nada si todos los locales y páginas web donde podemos realizar transacciones implementaran las medidas de seguridad adecuadas, como es cerciorarse de que en efecto el cliente es el dueño de esa tarjeta y/o pedir confirmación del CVV (el código que aparece detrás de la tarjeta) u otro segundo factor de autenticación (tarjetas de códigos, código mostrado en la aplicación del móvil del dueño…). Por su puesto, su deber es ponerles las cosas difíciles a los ciberdelincuentes, y eso pasa por tomar medidas de contingencia (cámaras de videovigilancia en los alrededores) y dificultar, en la medida de lo posible, el acceso (físico y digital) a estos terminales.
  • A nivel tecnológico: Las tarjetas de chip son sensiblemente más robustas frente a este tipo de ataques, simplemente por el hecho de que el chip contiene componentes extra de seguridad que no encontramos en la banda magnética (EN), y es muchísimo más difícil de clonar (se necesita equipamiento avanzado, a diferencia de la banda magnética, que no deja de ser un un número secreto). Y paulatinamente estamos tirando hacia un entorno donde el chip será el sistema por defecto de toda transacción, así que quizás sea cuestión de tiempo.
  • A nivel de vendedor/proveedor: Al parecer, los bancos pueden habilitar chequeos sencillos para saber si una tarjeta es clonada o no, pero el problema es que no es un sistema que esté habilitado en todos los ATVs, o se realice en cada petición. De ahí que los que se dedican a estos fraudes sepan a qué cajeros pueden ir a cuales no. Respecto a los dueños de cualquier establecimiento que ofrezca este tipo de pagos, su deber es evitar bajo cualquier circunstancia que un externo pueda acceder durante unos segundos a dichos dispositivos sin estar acompañado de un trabajador. Lo más jugoso para un skimmer es hacerse con el control de un cajero, pero resulta mucho más sencillo hacer lo propio con un TPV de un establecimiento privado, quizás entreteniendo al dependiente mientras nuestro compañero le hace el cambiazo.
  • Por parte del usuario: Como ya explicaba con anterioridad, deberíamos fijarnos si tanto la boca del lector de tarjetas como el teclado parecen estar superpuestos, o tienen una estética no acorde con el estado general del terminal (demasiado nuevos, con pegotes de pegamento en sus laterales…). También conviene taparse con la otra mano en el momento en el que vamos a insertar el PIN, y esto aplica en cualquier circunstancia (compras en un supermercado, pago en un restaurante). Por supuesto, bajo ninguna circunstancia deben llevarse nuestra tarjeta o colocarla en un lugar en el que no podamos verla (por ejemplo, detrás de una taquilla). Como decía, clonarla es tan sencillo como pasar la banda magnética por un clonador. Algo que un cibercriminal seguramente no intente hacer justo delante de nosotros (nos llamaría demasiado la atención), pero que sí realizan ofuscándolo debajo del propio datáfono o con la excusa de que justo en ese sitio tienen poca cobertura.

Son medidas un tanto abstractas, lo sé. Pero es lo que hay.

En países como España, donde el sistema de monedas digitales está bastante maduro (muchos controles de seguridad, una cultura social bastante acostumbrada a realizar este tipo de chequeos), no es tan habitual. Pero sí se lleva a cabo con la idea de utilizar dichos datos en países con menos controles (te lo roban aquí, y acaban intentando hacer transferencias y pagos fuera de nuestras fronteras).

Sobra decir que de demostrarse que en efecto es un robo, el banco corre con los gastos. Pero hay que demostrarlo, y no siempre es tan sencillo como a priori parece.

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias