Mauricio, directivo de TI en una importante empresa, sale a comer con dos miembros de su equipo a un restaurante. Al final, decide pagar la cuenta de todos con su tarjeta de crédito. Entrega el plástico al mesero, y éste se lo lleva para después regresar con el baucher listo para ser firmado. Hasta ahí, todo bien. Lo que Mauricio no sabe es que el mesero pasó la tarjeta por un dispositivo que copió la información de la banda magnética para poder clonarla y utilizar así su crédito.
Mientras tanto, en uno de los miles de cajeros automáticos disponibles en otra zona de la ciudad, Rosalía, empleada de una institución pública, también es timada. Ella accede al cajero e introduce su tarjeta, sin darse cuenta de que el aparato ha sido modificado: delincuentes colocaron un dispositivo para sustraer la información de la banda magnética y de esa forma clonar el plástico.
Tanto Mauricio como Rosalía se darán cuenta de lo sucedido hasta que requieran utilizar la tarjeta nuevamente o les llegue su estado de cuenta. Para entonces, los delincuentes tal vez hayan vaciado sus cuentas. Sin saberlo, Mauricio y Rosalía han sido víctimas del skimming.
De acuerdo con Jorge, auditor de sistemas de una importante institución bancaria en Colombia (quien por motivos de seguridad pidió no mencionar su apellido), el skimming, o clonación, es un sistema que permite capturar la información de la banda magnética de las tarjetas débito y crédito, junto con la clave. “El sistema puede contener desde una lectora de banda magnética, una cámara de video, hasta una tablet que simula el cajero. Luego de obtener la información, se crean las tarjetas falsas”, explicó.
Los dispositivos skimming pueden ser análogos o digitales; los primeros dependen de tecnologías como ondas de audio, mientras que los segundos se basan en los datos, como el código binario.
Una práctica en aumento
En los últimos años se persiguieron y procesaron diversos casos de delitos de clonación en Estados Unidos. En 2010 se arrestó en Florida a un joven de 23 años acusado de colocar dispositivos de skimming en varios cajeros del Bank of America. La cifra del robo fue de $30 mil dólares. En 2011, en Seattle, se arrestó a miembros de una banda dedicada a la clonación de tarjetas en cajeros de Watermark Credit Union, First Tech Credit Union y Chase Bank, entre otros. La cifra de robos ascendió a cerca de $160 mil dólares.
Un agente especial del Servicio Secreto, Malcolm Frederick, declaró en el juicio que los delincuentes colocaron dispositivos de clonación y video vigilancia en varios cajeros, para obtener la información de la banda magnética, las claves de acceso (NIP) y otra información personal de las víctimas.
Pero no todos los incidentes tienen finales satisfactorios. De acuerdo con Elías da Silva, vicepresidente para América Latina y el Caribe de NCR, aunque los fabricantes de ATM incrementen la seguridad de sus dispositivos, corresponde a las instituciones bancarias en cada país gestionar el tema. “Cada banco tiene sus acciones o políticas a seguir. Nuestra responsabilidad como fabricantes de ATM es garantizar que en caso de algún evento, el banco lo sepa; posteriormente cada institución determina las acciones a seguir”, comentó.
En Europa, los incidentes de fraudes en cajeros crecieron 69% de 2010 a mediados de 2011, de acuerdo con el European ATM Security Team (EAST), aunque se estima una reducción de ataques vía skimming. El EAST considera que 77% de los ataques suceden en mercados no europeos, como en Estados Unidos, en donde el estándar Europay-MasterCard-Visa (EMV) no es obligatorio.
Detección y seguimiento del delito
De acuerdo con Jorge, quien se ha especializado en forense de dispositivos de clonación, los resultados de las investigaciones arrojan que estos delitos no se cometen de manera individual, sino que se trata de delincuencia organizada. “Un grupo se encarga de capturar la información, otros de duplicar o clonar las tarjetas y otros realizan los retiros de dinero o compras”, comentó.
Sin embargo, si se cuenta con los elementos suficientes, es posible procesar a cada una de las partes por separado. “A quienes capturan la información se les procesa por lectura, sustracción o copiado de información confidencial”, explicó. “A quienes realizan la clonación se les acusa de falsificación de documentos, y a los organizadores se les persigue por conspiración delictiva y/o delitos contra el patrimonio.” Sin embargo, “En todos los casos es necesario la denuncia de las personas afectadas”, aclaró.
Esto es complicado debido a que de manera individual los montos robados pueden no ser sustanciosos, lo que obliga al fiscal a juntar una cantidad de denuncias de afectados y reunirlas todas bajo una misma denuncia contra un agresor. Este proceso puede tomar bastante tiempo, al tratar de detectar los casos relacionados de distintas víctimas y un solo delincuente o banda.
Una vez iniciado el proceso, se debe presentar la evidencia: “Todos los elementos encontrados en los ATM, los lectores de banda, computadoras, celulares, agendas, cámaras de video o fotografía. Todos son vitales pues con ellos el fiscal realiza la relación para probar la conspiración”, comentó Jorge.
Combate y prevención
En lo que se refiere a los ATM, fabricantes como NCR ya están incluyendo medidas de protección. Da Silva comenta que desde hace años sus cajeros cuentan con la opción de lectura de chip en las tarjetas, de conformidad con el estándar EMV, además de integrar una solución con sensores para detectar si algún delincuente coloca un dispositivo skimmer, en cuyo caso el ATM puede proceder de varias formas, ya sea apagando la máquina, enviando un SMS al personal de seguridad del banco o cualquier otra política que le sea configurada.
Sin embargo, aún hay que protegerse de la clonación en dispositivos utilizados en puntos de pago. A principios de año se dio a conocer, en Estados Unidos, que el fraude contra cientos de consumidores de la cadena Save Mart se debía al uso de skimmers en los puntos de pago automático, es decir, en aquéllos donde no era necesaria la presencia de un cajero que deslizara la tarjeta sino que el cliente lo hacía por sí mismo.
¿Qué se puede hacer para evitar ser víctima del delito? El experto forense colombiano recomienda no perder de vista su tarjeta y cambiar la clave periódicamente. Añade que las entidades deben invertir en tecnología para el monitoreo de transacciones o detectar cuando se instalan dispositivos skimming en los ATM, así como en puntos de pago en establecimientos.
Por su parte, algunos bancos en Estados Unidos están trabajando para minimizar los incidentes de clonación. Por ejemplo, Chase Bank logró arrestar a dos delincuentes gracias a un sistema de detección de fraudes que les permitió rastrear el comportamiento de las tarjetas clonadas.
El banco de Buffalo dio a conocer un dispositivo de su creación, diseñado para bloquear ataques de skimming en cajeros. Esta solución consiste en láminas de acero que se colocan alrededor del lector de la tarjeta, evitando así que se monten lectores falsos en el ATM.
“Las entidades financieras no deben trabajar por separado; deben asociarse y crear denuncias conjuntas para que las condenas sean más grandes. También deberían migrar su tecnología e impulsar el uso de las tarjetas con chip”, opinó Jorge.
Incidentes detectados y procesados
Aunque en México y América Latina aún no se tiene mucho rastro de la actividad de los skimmers, en Estados Unidos la cacería ha sido intensa y han conseguido llevar a la cárcel a varios delincuentes.
• Gabriela Graham, Connecticut, 21 años. Acusada de conspiración por fraude bancario vía skimming en ATM, implicando cerca de 250 cuentas bancarias por un monto sumado de cerca de $350 mil dólares. Podría recibir hasta 30 años de prisión
• Lachezar Lazarov, 26 años, Georgi Nikiforov, 25 años y Viktor Kafalov, 28 años búlgaros radicados en Nueva York, recibieron penas de entre 32 y 65 meses de prisión
• Laurentiu Bulat, joven rumano radicado en Nueva York, fue arrestado a inicios de este año por colocar dispositivos de skimming en diversos cajeros de HSBC, con los cuales robó cerca de $1.5 millones de dólares. Podría ser sentenciado a 60 años de cárcel
• Robin Miguel Corrales Castro, 35 años, y Silvio Leon, 38 años. Dueños de un local en Florida, usaron un dispositivo de punto de pago para clonar tarjetas y robar cerca de $730 mil dólares
