¿Compras por internet?: Tu tarjeta de crédito en riesgo

“Cuanto más siniestros son los deseos de un político, más pomposa, en general, se vuelve la nobleza de su lenguaje.” frase de "Un Mundo Feliz" de Aldus Huxley

En 2004, aparqué junto al piso de una amiga. Olvidé mi teléfono móvil y mis tarjetas en la guantera y al volver me habían roto la ventanilla del coche y habían desaparecido mi móvil (un Nokia 3450) y mi cartera con mis tarjetas. Eran otros tiempos y pude cancelarlas antes de que las usaran y bloquear la tarjeta del móvil aunque aparecieron en la factura un par de llamadas a teléfonos de Argelia. Nada que objetar. Eran otros tiempos. En esos tiempos te enterabas cuando te habían robado, porque rompían la ventanilla de un coche para hacerse con lo ajeno.

Hoy es mucho más sigiloso y, por lo tanto, peligroso ya que no descubres el fraude hasta que ves una lista de compras en tu extracto. Vamos a hablar del Skimming digital. ¿Eso qué es?. Te lo cuento en cinco minutos:

El skimming digital es uno de los métodos más sigilosos y peligrosos de robo de datos de tarjetas bancarias. Se realiza sin que la víctima tenga conocimiento de que su información financiera está siendo comprometida, y puede ocurrir tanto en entornos físicos como en línea. El skimming en cajeros automáticos y TPV son problemas conocidos. Sin embargo, ha evolucionado y se ha trasladado al comercio electrónico, poniendo en riesgo millones de tarjetas de crédito y débito, en portales de compra por internet. Insisto hasta la saciedad. Utilicen tarjetas prepago para compras por internet para cancelarlas automáticamente si se filtra o si se hace un fraude.

¿Qué es el skimming digital?

El skimming digital es el robo de información de tarjetas de crédito o débito mediante dispositivos o códigos maliciosos que capturan los datos cuando la víctima realiza una transacción legítima.

En entornos físicos, esto puede implicar el uso de dispositivos instalados en cajeros automáticos o terminales de pago.

En el mundo digital, el skimming puede suceder a través de scripts maliciosos inyectados en páginas web, particularmente en tiendas de comercio electrónico.

¿Cómo funciona el skimming digital en línea?

Los skimmers digitales, también conocidos como Magecart attacks, inyectan código malicioso en sitios web de comercio electrónico para robar información de tarjetas de crédito cuando un cliente realiza una compra. Este código intercepta los datos del formulario de pago (como el número de tarjeta, CVV y dirección), y los envía a los delincuentes en tiempo real, sin alterar la funcionalidad visible del sitio web. Las víctimas no sospechan nada hasta que ven transacciones no autorizadas en sus extractos de cuenta bancarios.

Ejemplos de ataques:

Magecart: Un grupo de ciberdelincuentes responsables de múltiples ataques de skimming digital. Han comprometido sitios de grandes marcas y pequeños comercios.

Inyecciones de JavaScript: Se han detectado casos en los que el código malicioso se inyecta directamente en la sección de pago de un sitio web, interceptando los datos de la tarjeta antes de que se cifren.

Skimming en terminales físicos

El skimming físico se realiza cuando los delincuentes colocan dispositivos ilegales en cajeros automáticos o en terminales de pago de tiendas. Estos dispositivos capturan la banda magnética de la tarjeta y, a menudo, incluyen pequeñas cámaras o falsos teclados para obtener el código PIN del usuario. Con esta información, los delincuentes pueden clonar tarjetas o realizar compras fraudulentas.

Riesgos para los usuarios:

Pérdida financiera: El impacto más obvio es la pérdida directa de dinero, ya sea porque los delincuentes realizan transacciones fraudulentas o porque clonan la tarjeta para su uso repetido.

Robo de identidad: Al robar los datos de la tarjeta, los atacantes pueden combinar esa información con otros datos personales para realizar suplantaciones de identidad.

Reputación de la empresa: Para las empresas que son víctimas de un ataque Magecart o similar, el daño a la reputación puede ser devastador. Los clientes pierden la confianza en el comercio si sienten que sus datos no están seguros.

Protección contra el skimming digital

• Para los usuarios:

Utiliza tarjetas virtuales: Algunos bancos ofrecen la opción de tarjetas virtuales para compras en línea, que caducan rápidamente o son de un solo uso.

Verifica la autenticidad del sitio web: Asegúrate de que las páginas de pago usan HTTPS y que el sitio parece legítimo.

Monitoriza tus estados de cuenta: Revisa regularmente las transacciones de tu cuenta bancaria para detectar actividades sospechosas lo antes posible.

Usa autenticación multifactor (MFA): Siempre que sea posible, activa el MFA en tus cuentas bancarias y de comercio electrónico para añadir una capa adicional de seguridad.

• Para los comercios:

Monitorea la integridad del código de tu web: Implementar sistemas que detecten cualquier modificación en el código de la página web de pagos.

Cifrado de extremo a extremo: Asegúrate de que los datos se cifren en todo el proceso de la transacción.

Actualizaciones de seguridad: Mantén el software del sitio web y los plugins actualizados para evitar vulnerabilidades explotadas por skimmers.

Test de penetración regulares: Realizar auditorías de seguridad y pruebas de penetración para identificar y corregir vulnerabilidades antes de que sean explotadas.

El mundo digital trae ventajas, pero ya no es necesario sacar una navaja en la calle para robarte tu dinero. En un mundo digital, el riesgo es digital. Protégete, no es fácil pero es posible.