El timo con tarjeta cambia el cara a cara por el fraude online
Los estafadores se ponen al día. De clonar tarjetas en tiendas y cajeros han pasado a capturar datos en la web. La banca se defiende
Ladrón, chorizo, timador, estafador, maleante, caco, ratero, mangante, atracador o quinqui. La riqueza de la lengua española es innegable. El castellano disfruta de un rosario de términos para definir a aquella persona que comete actividades delictivas porque, a fin de cuentas, el hurto es tan viejo como la humanidad misma y afecta a todo entorno y contexto. Los medios de pago electrónicos no son una excepción y siguen siendo objeto, 60 años después de la aparición de la primera tarjeta de crédito, de engaños y triquiñuelas.
El tiempo no pasa en balde y tanto "los buenos" como "los malos" han tenido que ponerse al día en su particular carrera armamentística para eludir o incrementar, según el interés de cada uno, el fraude. Las viejas boletas de papel dieron paso a finales de los años setenta a la banda magnética y ésta cede hoy el protagonismo al chip. Esta tecnología es conocida en el argot financiero como EMV, en referencia a Europay, Mastercard y Visa, tres esquemas clave en su desarrollo.
¿Pero a qué se debe el cambio? El anterior sistema presentaba demasiadas brechas de seguridad. "El principal punto débil de la banda magnética es que los datos de las pistas de la banda pueden ser copiados y reproducidos en otro plástico", explica Pedro Pablo López, gerente de infraestructura de Rural Servicios Informáticos (RSI). Además de ser objeto de robos callejeros y de pérdidas fortuitas, los plásticos de toda la vida pueden ser replicados al capturarse sus datos a través de lectores disimulados en las ranuras de los cajeros o en las puertas de entrada a los vestíbulos de las oficinas bancarias, así como en los comercios por parte de dependientes réprobos.
EE UU y Australia se mantienen fieles a la banda magnética, mientras que Europa, Canadá, y buena parte de Asia y América Latina han abrazado la tecnología EMV. En estas últimas regiones, la banca ha comenzado a reemplazar las viejas tarjetas por unidades con el chip insertado. Los titulares deben teclear ahora su clave personal (PIN) tanto en los cajeros como cuando efectúan una compra en un comercio. El cambio dice adiós al autógrafo en recibos de papel y supone un serio obstáculo a los timos presenciales.
"Las transacciones EMV ofrecen una mayor protección contra el fraude. Resulta muy difícil acceder a la información que contiene una tarjeta con chip gracias a la utilización de algoritmos de cifrado", explica Juan José Matías, responsable de servicio de prevención de fraude de Experian. El 42,5% de los 73 millones de tarjetas que hay en España ya cuentan con chip. Este país ha sido de los más rezagados en implantar la nueva tecnología, que ya está prácticamente generalizada en el resto de la UE. ¿El motivo? No existía un incentivo económico para abrazar la mejora tecnológica dado que la inversión requerida era muy fuerte y los niveles de fraude nacionales eran muy inferiores a los de otros mercados. "En torno al 0,02% del importe de las compras, cuando en Europa se sitúa en el 0,06%", cifran en Experian.
La entidad que emite la tarjeta era, tradicionalmente, quién asumía el importe defraudado. Pero con la llegada del chip, la norma comunitaria fija que pague el banco que no se haya adaptado a la nueva tecnología. Este es el motivo por el que los bancos y cajas españoles han culminado hace tiempo la puesta al día de su parque de cajeros (60.641) y datáfonos (1,55 millones). En un país con 52 millones de turistas anuales, era un riesgo demasiado elevado para ser ignorado.
En última instancia, la extensión del chip ha llevado a los delincuentes a actuar en aquellos entornos donde la tarjeta no está presente, como la compra telefónica o, sobre todo, el fraude online. En RSI tienen claro que tienden "hacia el aprovisionamiento masivo de datos conseguidos mediante skimming clonación y robos de bases de datos para duplicar bandas magnéticas o para utilizar las tarjetas en comercios online, que no requieren lectura de banda ni de chip", explica Manuel Muñoz Talavera, responsable de desarrollo de medios de pago de la filial informática de las rurales.
La extensión del chip por Europa ya se deja sentir positivamente en la banca española. Como muestra Servired, los plásticos franceses, británicos y alemanes han dejado de ser el gran motivo de preocupación. Su lugar lo ocupan ahora los de EE UU. "El fraude relacionado a las transacciones realizadas con tarjetas de los distintos países se reduce en función de la migración a EMV", indica Carmen Carnero, subdirectora general del mayor esquema de pagos nacional.
Bancos y cajas también disponen de herramientas que contribuyen a limitar el fraude online. Así, trazan perfiles de consumo de sus clientes mediante sofisticados sistemas informáticos de forma que, cuando se produce una anomalía en el patrón de gasto o en la ubicación geográfica de la compra, se suspende la transacción. También existe la posibilidad de fijar límites en tal o cual tarjeta, o de remitir alertas al teléfono móvil del titular cada vez que el plástico es utilizado. Otra alternativa contra los timos cibernéticos son las tarjetas virtuales recargables: no existen físicamente y su dueño se limita a transferir el saldo que desean cuando lo desea de forma que aunque un delincuente logre los datos se encuentra con que no tiene fondos disponibles. Además, tanto Visa como Mastercard han implantado protocolos especiales (Verified by Visa (VbV) y Securecode) para reforzar la seguridad en compras online.
En paralelo a la banca de toda la vida, han surgido firmas especializadas en los pagos telemáticos como Paypal, Neteller, Clickandbuy, Moneybookers, Ukash o Paysafecard. Suelen ofrecer cuentas o tarjetas de prepago, o actuar como cortafuegos en la compra.
Pero aunque el fraude es siempre bajo, a cualquier usuario le quedará siempre la duda: ¿se desarrollarán alguna vez sistemas de pago inmunes a la falsificación? Las tecnologías cambiarán y nuevas defensas tratarán de frenar los asaltos de delincuentes pero, como recuerdan en Lafferty, "ningún sistema puede ser absolutamente seguro porque hay que alcanzar un equilibrio entre el coste de la protección, la facilidad de uso por parte de los usuarios y la seguridad".
Pulso entre la justicia nacional y un delincuente global
Un barrio planetario. Al contrario que otro tipo de robos, la sustracción de datos de tarjetas no sabe de fronteras. "Estos fraudes son de carácter global. La persecución del delito se suele alargar en el tiempo o presenta límites de jurisdicción que acaban dificultando la persecución de los criminales y su encarcelamiento posterior", reflexiona Daniel Melo, director de soluciones en Europa, Oriente Próximo y África de la firma de análisis FICO.Este experto apunta que no existe un único modus operandi. Hay piratas informáticos que se limitan a robar datos que luego venden a terceros, otros reinvierten el dinero que sustraen en tecnología para continuar con sus actividades delictivas mientras otros utilizan las tarjetas para adquirir artículos fáciles de revender, como joyas.Juan José Matías, responsable del servicio de prevención de fraude de Experian, señala que "esta actividad suele cometerse de forma masiva y, con frecuencia, su ámbito de actuación cruza fronteras". Por eso, sostiene que "para combatir la ciberdelincuencia es necesario un marco legal integral, apoyado en una eficiente cooperación internacional".Algunos expertos apuntan que el perfil tipo del delincuente es un varón de entre 20 y 50 años, con conocimientos de informática y, a veces, formación militar. Suelen operar desde Europa del Este y el Pacífico Oriental.
Las cifras
150 euros es el importe medio defraudado por tarjeta clonada, según RSI. Se realizan entre tres y cinco operaciones antes de ser dada de baja. Un aparato capaz de clonar plásticos cuesta 200 euros.48% del fraude se produce en contextos donde la tarjeta no está físicamente presente, afirma Lafferty.1.500 Los medios de pago deben lograr un equilibrio entre el coste de la protección, la comodidad de uso y la seguridad.millones de euros puede ahorrar la banca al año al prevenir el fraude, según el Consejo de Pagos Europeos (EPC).
El prepago gana adeptos y los datáfonos no dejan de crecer
Control milimétrico del gasto. Los días del préstamo fácil y el gasto alegre son cosa del pasado y eso se nota en el mercado de las tarjetas. Los productos de crédito ceden terreno ante los de prepago. Así lo demuestran los estudios de la consultora Retail Banking Research (RBR).En 2008 había en Europa occidental 866 millones de tarjetas, un 5% más que el año precedente. "Los productos de débito han sido los que más han contribuido al incremento del número de tarjetas, sobre todo por la creciente popularidad del prepago", indica la firma británica. Al cierre de ese año, un 52% del parque correspondía a tarjetas de débito, otro 15% a las de pago a fin de mes y el 33% restante eran de crédito en los 17 países del oeste de Europa.En la parte oriental del continente el panorama es distinto. La región contaba con 264 millones de plásticos al acabar 2008, un 10% más. Pero ahí las unidades de débito son reinas incuestionable: representan el 83% de las tarjetas emitidas. Las de crédito reunían otro 15% y las de pago a fin de mes el 2%.Llama la atención la fuerte apuesta realizada en lectores de tarjetas (TPV) para comercios. De un año para otro, se instalaron casi un millón de aparatos nuevos. Al cierre de 2008, había 9,6 millones (+10,3%) en la parte occidental y 1,1 millones (+26%) en Europa oriental.
Métodos de ataque y protección
Herramientas contra las estafasHábito de consumo: las tarjetas son fiel reflejo de su propietario: su uso muestra dónde compra, qué adquiere y cuándo. Esos datos permiten a las entidades financieras trazar perfiles de consumo razonablemente fiables. Así, cuando una tarjeta realiza una operación inusual por su importe o localización, el banco puede deducir que detrás hay un fraude.Límite de saldo: los titulares pueden fijar una barrera de gasto a sus tarjetas para limitar el potencial perjuicio que pueden sufrir. Otra alternativa son los productos de prepago. Algunos son de un solo uso.SMS: las entidades envían a los teléfonos móviles de sus clientes alertas informando sobre las compras y extracciones de efectivo que realizan sus tarjetas. Así pueden detectar transacciones anómalas.Chip y pin: esta tecnología exige al titular teclear su clave cada vez que efectúa una compra en un comercio en lugar de estampar una firma para confirmar su identidad. En Europa, su implantación será obligatoria desde 2011. Y de cara al futuro, el chip puede almacenar firmas digitales y características biométricas como la huella dactilar del titular o su iris.Timos más habitualesClonación de tarjetas: también llamada 'skimming' en el argot del sector. El delincuente coloca una copiadora de banda magnética en un cajero o en la máquina registradora de un comercio camuflada de alguna forma. Con ella es capaz de grabar los datos de la tarjeta de banda magnética. Luego realiza una copia idéntica que usa a su antojo.Lazo libanés: el estafador inserta un pequeño hilo o trozo de cinta magnética en un cajero para atrapar una tarjeta. Al quedar capturada, se presenta a la víctima como otro usuario que ha tenido el mismo problema. Le ofrece usar su móvil para llamar al banco, pero en realidad le pone en contacto con un compinche que le sonsaca su clave y datos personales.'Phishing': envío de correos electrónicos que suplantan a las entidades financieras para recabar los datos de sus tarjetas de crédito y débito. Alegan que deben verificar los datos para conseguir que el particular trague el anzuelo y provea información.'Carding': robo de dinero con números de tarjetas extraídos de bases de datos de empresas e instituciones a través de ataques informáticos piratas.