Brian Krebs, periodista en temas de seguridad informática, ha reportado sobre una banda de skimmers que está operando en cajeros automáticos ubicados en la zona de Cancún, México.
El skimming es el robo de los datos de la tarjeta de crédito o débito, incluyendo su NIP. El ladrón o skimmer puede obtener estos datos durante el pago de una transacción o el uso del cajero automático, ya sea manualmente robando los datos y NIP de la tarjeta utilizada para pagar o de forma automática usando un dispositivo electrónico conocido como skimmer que se conecta al lector de tarjeta y en el que se deslizan y almacenan cientos de números de tarjetas. Como el NIP no se encuentra en la banda magnética de la tarjeta para obtenerlo en cajeros automáticos el ladrón utiliza un dispositivo electrónico conectado al teclado o una cámara en miniatura.
Krebs encontró 19 cajeros automáticos comprometidos en Cancún, Tulum, Playa del Carmen y Cozumel, en lugares típicamente concurridos por los turistas, quienes son el principal foco para el fraude por tarjeta.
Al parecer los cajeros fueron alterados para instalarles dispositivos Bluetooth para el lector de tarjeta y teclado, que transmitían la señal “Free2Move”. A diferencia de los dispositivos skimmers típicos que son fijados por fuera de la máquina y que los hace detectables, los componentes Bluetooth descubiertos estaban dentro de la máquina conectados por cable a las tarjetas electrónicas del lector de tarjeta y del teclado, por lo que su detección podría llevar meses o años según la rapidez con la que los ladrones utilizaran o vendieran los datos y NIP robados de las tarjetas introducidas en el cajero automático.
Cada vez que una persona utilizó estos cajeros comprometidos, sin darse cuenta los datos de la tarjeta y NIP introducidos quedaron almacenados en tales dispositivos. El ladrón podía descargar toda la información recopilada y almacenada en los componentes del skimming con tan sólo caminar cerca del cajero con un smartphone para conectarse a la señal Bluetooth “Free2Move” e ingresando la contraseña que sólo él conocía. Además los datos a través de la señal estaban cifrados y es de suponerse que la llave de descifrado también sólo era conocida por los ladrones.
Para tener acceso físico y directo al interior del cajero automático, desde principios de este año los ladrones -personas con acento de Europa del Este- abordaron a los técnicos de instalación y mantenimiento de los cajeros automáticos, ofreciéndoles más de 100 veces su salario mensual por permitir la instalación de componentes skimming en el cajero.
“Free2Move” es el nombre predeterminado de la señal Bluetooth transmitida por un componente fabricado por una empresa de comunicaciones inalámbricas legítima del mismo nombre. Krebs encontró un sitio con aspecto dudoso que ofrece esta tecnología para el lector de tarjeta y teclado de cajeros automáticos aunque el sitio afirma que no venderá dicha tecnología a los estafadores.
Al menos 19 cajeros automáticos pudieron haber sido alterados para el robo inalámbrico de datos y NIP de tarjetas. Entre ellos los dos cajeros automáticos situados en el hotel Marriott CasaMagna -en el que se hospedó Krebs- y de los cuales ya se habían reportado quejas de los huéspedes por fraude en sus tarjetas de débito poco después de usar tales cajeros. Las quejas resultaron en la revisión de los cajeros por el técnico de la empresa administradora de los mismos sin haberse encontrado anomalías, posiblemente porque sólo se haya revisado el exterior del equipo o quien revisó pudo haber sido el técnico que instaló el skimmer en el cajero automático.
Lo sorprendente es que a pesar de haber evidenciado que los cajeros automáticos estaban comprometidos éstos siguieron trabajando por dos días más hasta que fueron desconectados. Sorprendente fue también la actitud de algunos usuarios, que no obstante haberles dicho que el cajero estaba comprometido no les importó y lo siguieron usando para retirar dinero.
Otros cajeros automáticos comprometidos fueron encontrados en el hotel Barceló (3), en Tulum (3), Playa del Carmen (5), Cozumel (4) y en el aeropuerto (1) de Cancún.
Los cajeros automáticos comprometidos son gestionados por terceros, unos por Cardtronics y otros por Intacash.
Krebs habló con un representante de Cardtronics que dijo no saber sobre el hallazgo de los cajeros comprometidos ni recibido reportes de clonación de tarjetas y que reportan a las autoridades cuando descubren dispositivos skimmer en sus cajeros automáticos.
No tuvo la misma suerte con Intacash ni con el banco patrocinador de éste en México, Multiva. A ambos les envió mensajes de correo electrónico para saber su opinión sin haber recibido respuesta. Analizó la forma de operar de Intacash, refiriendo la posibilidad de que dicha empresa haya sido creada esencialmente para capturar datos y NIP de la tarjeta, ya que los cajeros automáticos de Intacash cancelan la operación después de introducido el NIP o el usuario cancela la operación debido al alto costo de la comisión, casi el doble de lo que cobran otras empresas de cajeros automáticos para el retiro de fondos. En ambos casos los datos y NIP de la tarjeta ya fueron leídos y almacenados en los dispositivos skimmers.