Skimming o robo de información en cajeros automáticos

Una de las acepciones del término skimming se refiere al robo de información en tarjetas de crédito. A continuación vemos en qué consiste esta práctica, qué técnicas utilizan los skimmers y cómo protegerse de los robos en cajeros automáticos.

En este artículo hablamos de:

¿Qué es el skimming?
Tipos de skimming
Métodos que emplean los skimmers
Diferencias entre skimming y scanning (fraudes)
¿Cómo evitar el robo de información de tarjetas de crédito?
- Medidas que pueden adoptar los bancos o proveedores de servicios
¿Qué hacer si has sido víctima de un skimmer?

¿Qué es el skimming?

El skimming es una práctica que consiste en el robo de información de tarjetas de crédito en el momento que el usuario la está usando, ya sea en un cajero automático o en un TPV o terminal de punto de venta.

El modus operandi consiste en copiar la banda magnética de la tarjeta de crédito o débito, para más adelante poder duplicar la tarjeta y usar sus fondos de forma fraudulenta.

Esta práctica es más común de lo que muchos usuarios piensan. Los skimmers pueden actuar en cajeros automáticos de bancos o cajas de ahorros, en restaurantes, gasolineras, etc.

El skimming y carding son dos fraudes relacionados entre sí y que tienen como víctimas a los usuarios de tarjetas de crédito. Mientras el skimming se refiere al robo de información, el carding describe el uso y tráfico no autorizado de dichas tarjetas.

Tipos de skimming

Cuando hablamos de skimming nos podemos referir al robo de información de tarjetas de crédito o débito en cajeros automáticos, TPV o en transacciones online, lo que se denomina e-skimming.

En cajeros automáticos

Los cajeros electrónicos ATM (Automated Teller Machine) son los dispositivos más afectados por el skimming de tarjetas de débito o crédito por varias razones. En primer lugar, suelen estar situados en lugares públicos y, en ocasiones, en sitios aislados o con niveles de seguridad escasos. Por otro lado, al ser automáticos no cuentan con personal que supervise las operaciones, y muchas veces tampoco cuentan con las medidas de videovigilancia adecuadas.

Generalmente los skimmers colocan el lector falso encima del lector del cajero, o en otro lugar donde se pueda copiar la información y el usuario no sospeche. De esta manera, es el propio usuario quien transfiere la información de su tarjeta al skimmer al realizar una operación de manera convencional.

En datáfonos y TPV

El skimming en TPV o datáfonos también es empleado por los delincuentes para robar la información de las tarjetas de crédito. Estos dispositivos permiten la lectura de bandas magnéticas, y los criminales suelen instalar lectores falsos en las carcasas externas que permiten leer la información de la tarjeta cuando el usuario la desliza por el lector auténtico.

E-skimming o web skimming en tiendas online

El skimming en comercios electrónicos se conoce como e-skimming. En este caso, los ciberdelincuentes utilizan vulnerabilidades de los métodos de pago online para robar los datos de la tarjeta en el momento de la transacción. Una vez que la información ha sido obtenida, la pueden utilizar para su propio beneficio o venderla en el mercado negro.

Métodos que emplean los skimmers

Existen diferentes técnicas de skimming que los criminales pueden usar para los fraudes con tarjetas de crédito. Vemos algunos de los métodos más empleados por los delincuentes.

Espiar directamente al usuario

Uno de los métodos consiste en espiar directamente al usuario mientras éste realiza la operación. En este caso, se suele emplear para obtener el PIN de tarjetas de crédito o débito ajenas. Normalmente el skimmer utiliza algún dispositivo de mano para grabar el PIN de la tarjeta aprovechando que el usuario está distraído.

Malware

Algunos skimmers con capaces de infectar los cajeros automáticos con malware. Este software malicioso no solo es capaz de robar las credenciales de las tarjetas de crédito, sino que en ocasiones también permite al criminal realizar otras operaciones, como distribuir el dinero robado a otras cuentas.

Ataques de superposición

Los ataques de superposición se basan en colocar un lector de tarjetas falso sobre el auténtico. De esta manera, cuando el usuario realiza la transacción, estará pasando los datos al skimmer sin darse cuenta.

Colocar cámaras en cajeros

Es otro método que se basa en espiar al usuario en el momento que utiliza el cajero automático, y su finalidad es obtener el PIN de la tarjeta. Se utiliza una cámara estenopeica que graba directamente al teclado y que transmite esa imagen de vídeo al receptor del criminal.

Modificar el teclado del cajero

Este técnica de skimming consiste en introducir un teclado falso que recoge las pulsaciones de los usuarios en el cajero. Es un método más arriesgado para los ciberdelincuentes, ya que han de usar argucias para poder tener acceso al cajero automático, por ejemplo haciéndose pasar por técnicos.

Interfaces inalámbricas

Las redes Wi-Fi o Bluetooth también son usadas por los ciberdelincuentes para robar información de tarjetas de crédito. Los criminales se aprovechan de la falta de cifrado o de los fallos de seguridad de estas redes para interceptar los datos durante las transacciones.

NFC o lectores sin contacto

Los dispositivos NFC o lectores sin contacto también pueden interceptar información cuando se colocan cerca del terminal de aceptación del pago.

Captura de datos desde dispositivos móviles

Esta técnica de skimming consiste en conectar un skimmer o lector de tarjetas modificado a la salida de auriculares del teléfono. El smartphone mostrará al usuario un mensaje falso para que introduzca su PIN en el teléfono, de forma que el criminal pueda acceder tanto al PIN como a los datos de la tarjeta.

Diferencias entre skimming y scanning (fraudes)

El skimming se basa en el robo de información de tarjetas de crédito en cajeros o datáfonos. Por su parte, el scanning es otro fraude que emplea los códigos QR para engañar al usuario.

Los códigos QR pueden encontrarse en numerosos lugares como folletos, revistas o incluso tarjetas de crédito. Los criminales modifican el código QR o lo sustituyen por uno fraudulento, de manera que cuando el usuario usa el lector de su teléfono móvil, le lleva a una página web fraudulenta. Desde esta web falsa los ciberdelincuentes proceden a realizar phishing, robarle la información o chantajearle para desbloquear su terminal.

¿Cómo evitar el robo de información de tarjetas de crédito?

Para evitar el skimming en cajeros automáticos:

Usar cajeros electrónicos ubicados en sitios seguros, por ejemplo en el interior de la entidad bancaria.
Fijarse si existe algún dispositivo extraño como paneles, dispositivos de grabación o cables en el lector de tarjetas de crédito o en el teclado.
Rechaza siempre la ayuda de extraños cuando estés haciendo una operación en un cajero automático.
Vigila que no haya personas extrañas merodeando alrededor del cajero, o que se acercan sospechosamente a ti mientras realizas la operación.
En caso de que el cajero haya bloqueado la tarjeta, nunca abandones el lugar. Notifica el problema al banco y a la Policía de inmediato.

Para evitar el skimming en TPV o datáfonos:

Revisa el el terminal de pago en busca de elementos extraños o sospechosos, como carcasas, pegatinas o dispositivos sospechosos.
Realiza siempre el pago tú mismo, nunca des la tarjeta a otra persona para que haga la transacción.
Oculta el PIN a la hora de introducirlo en el terminal.
Emplea siempre dispositivos TPV en comercios reconocidos y, en caso de duda, paga con efectivo.
Si la tarjeta cuenta con lector EMV, insértala en el datáfono en lugar de pasar la banda magnética por el lector.

Medidas que pueden adoptar los bancos o proveedores de servicios

Por otro lado, las entidades bancarias, comercios o fabricantes de cajeros automáticos también pueden llevar a cabo medidas que minimicen el riesgo a la hora de realizar operaciones con tarjetas de crédito o débito:

Avisar a los clientes de los riesgos del skimming y de las medidas que pueden poner en práctica para protegerse.
Permitir el uso de tarjetas con lector EMV que reducen drásticamente el riesgo de que los criminales realicen copias no autorizadas.
Apostar por dispositivos PED o Pin Entry Devices, que cumplen con los protocolos para la encriptación del PINs.
Contar con un sistema de videovigilancia que supervise permanentemente los alrededores del cajero automático.
Instalar elementos anti skimmers, como paneles encima del lector de tarjetas que impiden que los delincuentes coloquen sus propios dispositivos fraudulentos.
Emplear dispositivos distorsionadores de frecuencias que anulen el campo electromagnético del lector de tarjetas.
Avisar al usuario a través de SMS o correo electrónico cuando se haya realizado una transacción sospechosa desde su cuenta.
Cifrar o codificar la información de la banda magnética.
Incluir sensores ópticos o infrarrojos en los cajeros que anulen o bloqueen las tarjetas cuando se detecte un dispositivo fraudulento.
Aplicar medidas para garantizar el comercio electrónico seguro.

¿Qué hacer si has sido víctima de un skimmer?

Si crees que has sido víctima de skimming, debes proceder de la siguiente manera:

Comunícaselo al banco. Llama inmediatamente para anular las tarjetas.
Acude a la Policía a interponer una denuncia.
Reclama a la entidad bancaria la cantidad que haya sido defraudada. Si el banco no se hace responsable, acude al defensor del cliente de la entidad.
Si sigues sin obtener respuesta por parte de la entidad bancaria, pon una reclamación en el Departamento de Conducta de Mercado.

Ahora ya sabes qué es el skimming y cómo evitarlo. El último consejo que podemos darte es que no te confíes, ya que los criminales cada vez usan métodos más sofisticados para robar la información de cuentas bancarias, así que toda protección es poca.