insights

Alerta por fraude bancario en las Rebajas de Invierno: no te olvides del SKIMMING

Banca y Fintech

Usualmente nos preguntamos cuál es el mejor medio de proteger nuestros bienes y, tras analizar la situación, instalamos sistemas de alarma, tomamos precauciones a la hora de sacar efectivo del cajero y leemos la letra pequeña de los contratos que firmamos. Pero es posible que desconozcamos los riesgos que implican actividades económicas, sobre todo de las que realizamos con medios electrónicos, y por ello aplicamos pocas o ninguna medida de seguridad. En este sentido, es importante conocer el término skimming,

¿Qué es el Skimming?

El concepto Skimming se ha empleado  originalmente en literatura para designar una técnica de lectura selectiva que permite hallar datos de interés de forma rápida, pero en ciberseguridad designa al conjunto de técnicas empleadas los ciberdelincuentes para robar los datos bancarios de una persona. Esta información les permite amenazar y extorsionar empresas, cometer delitos usurpando la identidad de otra persona, hacer compras en nombre de otro, realizar transferencias con el dinero de otra persona o incluso financiar grupos terroristas. 

El Skimming en ciberseguridad designa, no obstante, al tipo de estafa (art. 249 del Código Penal) que se comete con medios electrónicos. Su objetivo es conseguir nuestra información bancaria a través de distintos métodos, principalmente por la copia o clonado de la información de la banda magnética de nuestra tarjeta bancaria física. El concepto recoge asimismo las diversas estrategias que se usan conjunta o individualmente para tal fin. Algunas de las estrategias más aplicadas son:  

1. Instalación o uso de dispositivos ilegales

Son dispositivos capaces de copiar o registrar la información de nuestra tarjeta bancaria (de la banda magnética y/o sus credenciales) con el fin de clonarla, de usar sus credenciales en el comercio electrónico o de vendérselas a un tercero. En general, cuando usamos nuestra tarjeta bancaria para realizar compras o sacar dinero del cajero corremos el riesgo de que nos roben nuestros datos. Usualmente, los dispositivos que se utilizan son:

  • Datáfonos ilegalmente modificados para registrar las credenciales y/o la banda magnética de nuestra tarjeta bancaria y así clonarla.  
  • Dispositivos distintos al datáfono con lectura de banda magnética o de RFID, que son utilizados por un empleado cuando cedemos nuestra tarjeta para realizar un pago con datáfono. Basta con un leve despiste para realizar la maniobra. 
  • Dispositivos de registro en cajeros automáticos que simulan ser parte de estos, como un teclado y una ranura para insertar la tarjeta superpuestos a los originales, que registran tanto la información de la tarjeta como el PIN. 
  • Cámaras espía que pueden instalarse en datáfonos y cajeros y pasar desapercibidas fácilmente, ya que son fabricadas con apariencia de tornillo u otros elementos capaces de integrarse en cualquier aparato. Se emplean para registrar el PIN de seguridad. 

2. Phishing

Se trata del envío de mensajes con malware, usualmente vía correo electrónico, pero también vía SMS, WhatsApp, etc., (Smishing) o la realización de llamadas telefónicas (Vishing), que, a través de la ingeniería social, logran suplantar la identidad de una empresa, organización o persona de confianza, para obtener nuestros datos bancarios, entre otros datos personales.  

Somos más propensos a caer en los engaños del Phishing, ya que es una estrategia que implica pocos conocimientos técnicos, es sencilla de aplicar y complica la labor de las Fuerzas y Cuerpos de Seguridad de atribuir el delito a una persona física, gracias al anonimato que ofrece el ciberespacio.  

3. E-Skimming

El E-Skimming consiste en el acceso a la información bancaria y personal que las tiendas online legítimas guardan en el ciberespacio, para su posterior uso fraudulento y/o Carding. Para ello los ciberdelincuentes explotan vulnerabilidades no parcheadas de los sistemas informáticos que sirven para gestionar la plataforma del e-commerce. 

Las vulnerabilidades pueden explotarse en dos sentidos: por un lado, se explotan de forma que permitan a los delincuentes acceder a la información personal y sensible de clientes y empleados; por otro lado, pueden suplantar la identidad del cliente y hacer en su nombre compras y pedidos que no llaman la atención del servicio de seguridad informática de la empresa que tiene el e-commerce 

Este tipo de fraude está muy a la orden del día, pero es importante señalar que es una técnica con un recorrido ya instituido en las bandas de ciberdelincuentes. En el año 2011 la Guardia Civil detuvo, en el marco de la Operación “UKUNGA” a 8 personas que integraban una red delictiva internacional dedicada al Skimming, gracias al cual estafaron más de 1 millón de euros. 

¿Cómo podemos protegernos del Skimming?

Como hemos visto, el objetivo principal de los Skimmers es hacerse con nuestra información bancaria. Épocas como las navidades, y posteriormente las Rebajas de Invierno suponen una oportunidad para que los Skimmers actúen, ya que realizamos más compras de lo habitual, nos lanzamos a las ofertas y somos más susceptibles de sufrir Skimming, también por Internet.

Así, lo primero de lo que debemos concienciarnos es que el Skimming se puede llevar a cabo de dos maneras: con tarjeta presente y no presente. 

Los métodos con tarjeta presente, que consisten en el uso de los dispositivos ilegales, son los más complejos de aplicar debido a la dificultad de acceso a los dispositivos de Skimming. Ante ellos, debemos tomar algunas precauciones como:  

  • No perder de vista nuestra tarjeta cuando realizamos un pago en cualquier comercio. 
  • Tapar el PIN con la mano cuando sacamos dinero del cajero y asegurarnos de que no existe ningún dispositivo sobrante o extraño. 
  • Si algo nos hace sospechar (encontramos una cámara espía o algún otro dispositivo), lo mejor que puede hacerse es avisar al personal del banco y a las autoridades.  
  • Si tenemos la más mínima sospecha de que se ha realizado un cargo fraudulento en nuestra cuenta, debemos informar a la Autoridad competente sobre los lugares (físicos u online) en los que hemos realizado alguna transacción económica (tiendas, bancos, etc.); así como contactar con nuestra entidad bancaria para avisar de dicho cargo y anular la tarjeta clonada por los delincuentes.  

Respecto a los métodos con tarjeta no presente, que son más comunes que los anteriores, debemos, evitar el fallo humano que provoca la ingeniería social del phishing: 

  • Desconfiar de links o archivos adjuntos, comprobando que el remitente de un mensaje es quien dice ser y no se ha suplantado su identidad.  
  • No aportar información personal. Nuestro banco jamás nos va a solicitar por ningún medio que introduzcamos credenciales bancarias para verificar que somos nosotros. Si el mensaje es de alguien “conocido” es mejor ponerse en contacto directamente con él o ella para preguntar si nos ha enviado realmente el mensaje, ya que puede que tu conocido esté siendo víctima de malware.  
  • Concienciarse acerca de las técnicas de manipulación que suelen emplearse y evitar, en lo máximo posible, publicar información personal. Recuerda que los ciberdelincuentes se aprovechan de la información que publicamos para saber cómo engañarnos más fácilmente. 

Por último, debemos evitar las vulnerabilidades derivadas de nuestro sistema informático: 

  • Mantener el software actualizado, pues las actualizaciones contienen parches de seguridad que nos protegen de las vulnerabilidades que se van identificando.  
  • Segmentar la red para minimizar el efecto de cualquier ataque y reducirlo a un solo segmento de nuestra red.  
  • Instalar un antivirus adecuado dependiendo del nivel de protección que requiera la información que custodiamos.
  • Borrar diariamente las cookies, sobre todo si usamos dispositivos ajenos, para evitar un seguimiento fraudulento de nuestra huella digital, así como para aseverar que nuestros datos y contraseñas no se quedan registrados en ninguna página o USB a la que puedan acceder los ciberdelincuentes.  
  • Crear contraseñas robustas, de ser posible, habilitando un doble factor de autenticación. 

Isabel Navarrete Sánchez