latest posts

Ciberseguridad

Así operan las bandas de clonación de tarjetas

La captura, el martes de la semana pasada, de un empleado en una estación de gasolina luego de que una usuaria lo sorprendiera cuando pasó su tarjeta débito por un datáfono sustituto o ‘payaso’, fue el último caso de hurto por clonación de tarjetas conocido en Barranquilla.

“Hemos capturado a 23 presuntos clonadores, incluido el trabajador de la estación de servicio; en 2015, para la misma fecha, iban 34 capturas, pero eso sucede porque en un solo caso se pueden capturar tanto una como varias personas implicadas”, explicó un investigador del grupo contra delitos informáticos de la Sijín Metropolitana.

Las estadísticas de la Dirección de Investigación Judicial e Interpol, Dijín, en Bogotá, que centraliza la información criminal que se recopila en cada ciudad, muestran un incremento de esta clase de robo: en todo el país la Policía ha conocido este año 107 denuncias por clonación de tarjetas débito o crédito (frente a 52 en 2015 y 90 en 2014).

De esas 107, la tercera parte corresponde a quejas penales en Barranquilla, donde se concentra el mayor número de casos en 2016: 35. El Sistema de Información Criminal, Sicri, de la Policía Metropolitana también evidencia un crecimiento, puesto que en los mismos nueve meses del año pasado se habían presentado 14 menos: 21.

La Dijín recopila además las quejas de la vigencia actual en la Región Caribe: 35 en Barranquilla y una más en el departamento del Atlántico; en La Guajira, 15; en Montería, cuatro, y el resto de Córdoba, tres; en Cartagena (Bolívar), tres; y en Sucre, uno. En Magdalena y Cesar no ha habido.

La información que por ejemplo maneja la Dijín sobre tres rumanos considerados los mayores clonadores de tarjetas del mundo, arrestados el año pasado en Barranquilla, es que hurtaban a diario unos $2 millones a través transacciones con tarjetas clonadas, en otros países.

Al respecto, la Superintendencia Financiera y la Asociación Gremial Financiera de Colombia, Asobancaria, señalaron que los registros de quejas y denuncias por clonaciones los llevan los bancos y la Fiscalía. “Porque la clonación de tarjetas se tipifica como un delito penal y se extralimita de nuestras funciones”, argumentó al explicar por qué no dispone de esta información.

Pero desde la oficina de comunicaciones de la Fiscalía indicaron que no se posee centralizada la información y que las preguntas debían transmitirse a la Superfinanciera y la Asobancaria. “Solo se manejan aquellos casos en los que los usuarios no quedan satisfechos con los procesos y soluciones que adelantan los bancos, por lo que presentan una queja”, indican expertos en el tema.

Lo anterior contrasta con las cifras que un informe del diario La República citó en 2014: 300.000 tarjetas clonadas, lo que equivalía el 1% de casos con respecto a los más de 33 millones de plásticos en uso.

Lo atractivo del mercado para los clonadores es el crecimiento de los cuentahabientes. Hasta junio la Superfinanciera contabilizó 42,1 millones de tarjetas: 23,8 millones débito, con las cuales se realizaron compras de $2,8 billones y retiros de $16,1 billones; y 18,3 millones tarjetas de crédito, usadas en compras por $699.015 millones y retiros por $8.433 millones.

Estas cifras evidencian lo atractivo que es el mercado para los clonadores de tarjeta y delincuentes bajo otras modalidades de fraude.

Es por ello que la Superintendencia emprendió desde 2011 una campaña para reducir estos casos.

¿Cómo clonan?

El caso de Alexander Rodríguez Cervantes, el empleado que tenía un dispositivo ilegal en la estación de servicio en la carrera 52 con calle 76, norte de Barranquilla, es una de las formas de clonación de tarjetas detectadas por las autoridades: datáfono ‘payaso’ o sustituto.

La manera como funciona es, básicamente, igual a un cajero que ha sido alterado. El intendente Fernando Ordóñez Hoyos, del grupo de delitos financieros de la Dijín, explicó que el clonador roba la información de la banda magnética de una tarjeta legítima para insertarla en otra banda magnética de una tarjeta falsa, sin importar su denominación.

clonacion-de-tarjetas

Para la clonación de tarjetas débito, ilícito que se comete desde hace unos 20 años en Colombia, se necesitan tres artefactos: un skimmer, dispositivo de copiado que se coloca en el cajero electrónico cuya venta libre es de unos $300.000; una microcámara, que se consigue desde los $40.000; y la magnetizadora, que ‘imprime’ la información de la banda magnética en una tarjeta falsa.

Esta última parte, añade Ordóñez, es traída de manera clandestina por unos $158.000 desde Argentina, China y Europa, ya que su uso es restringido para los bancos. “Instalan en el cajero electrónico, en la ranura donde se introduce la tarjeta, un skimmer, y lo que hacen es sobreponer una facia (donde va la ranura de la tarjeta) con una cinta, y en esa facia, en la parte de atrás, va el skimmer”, precisa Ordóñez. La microcámara puede instalarla dentro del cubreteclado, al fondo, los costados o arriba; o la adhieren a un accesorio falso del cajero o a los lados o en el techo. “Suele ser del tamaño de un dedo”, dice.

Sensores de audio

Una parte fundamental en este andamiaje son los puertos USB y/o procesadores micro SD, de los que usan celulares, lo cual sirve para luego descargar la información en computadores.

Un agente de la Sijín anotó que también suelen usar sensores de audio. “Hay clonadores que se saben el sonido de cada tecla y así descubren la clave de la tarjeta; con la información en el computador, se dedican luego a saber cuál transacción se hizo a la hora que marcó y a qué horas, así identifican a cada cuenta víctima”.

Los clonadores prefieren cajeros ubicados en zonas con comercio a su alrededor, como restaurantes, oficinas y discotecas, que se caracterizan por ser transitadas y de gran afluencia.

Los delincuentes, incluso, pueden estar vigilando. “Antes dejaban estos dispositivos un día completo; ahora los instalan 20 o 30 minutos, entran al cajero cuatro o cinco clientes, y luego lo retiran y se van a magnetizar”, explica el Intendente.

Magnetizar, ilustra, “es coger un portátil, conectarlo a un dispositivo electrónico que se llama magnetizadora, que es como una impresora donde meten la tarjeta virgen, mientras que el puerto USB del skimmer lo conectan al computador, y ese track, que es un código alfanumérico, se pega en un documento de Word, y eso lo envían como si fuera una impresión, y como ya tienen la clave en la microcámara, van a retirar”.

La clonación de tarjetas débito fue introducida al país por un ladrón colombiano desde Argentina, pero ha disminuido su incidencia por las medidas de seguridad que los bancos han impuesto y porque muchos de los clientes saben de esta amenaza.

Debido a la implementación de chips, se ha detectado que los ladrones buscan bloquear el cajero. Para ello impregnan silicona líquida en el chip, introducen la tarjeta en el skimmer y así consiguen que el cajero quede “bandalizado” o bloqueado.

Una consecuencia es que el cajero no lea el chip y alerte al cliente: su transacción será realizada con banda magnética. “No siempre que ocurra eso es porque haya sido bloqueado, puede ser una falla del mismo, pero lo mejor es que las personas no hagan la transacción y busquen otro cajero”, recomienda uno de los agentes de la Sijín.

A pesar de que hasta ahora no hay información de que los clonadores hayan podido violar la seguridad del chip, el problema es que las tarjetas continúan teniendo la banda magnética, que es la información que se puede copiar. El motivo, dice otro investigador policial, es que el mercado financiero en Estados Unidos y otros países funciona con bandas magnéticas y no chips. Por eso los plásticos locales incluyen ambos métodos de retiro de dinero. Debido a la forma como funcionan es posible que los clonadores obtengan la información de la víctima en Colombia, pero hagan transacciones en Miami, Perú, Chile o cualquier otro país.

Reventas y deudas

Además de los cajeros, la mayoría de clonaciones se registran en establecimientos, como sucedió en la estación de gasolina, donde el cliente entrega la tarjeta para pagar y el clonador, con un movimiento rápido de manos, la pasa por un dispositivo plástico pequeño, color negro.

“Usan el mismo skimmer, que va a estar en un dispositivo que llaman pito, que son como dos cajas de fósforo de pasta pegadas, con una ranura por la mitad, y con un puerto USB”, describe Ordóñez. “Este aparato –explica– puede pasar desapercibido en la mano de quien lo atienda en un restaurante, por ejemplo. Es un juego de agilidad, dos segundos, la desliza, y ya copia la información de la banda”.

De acuerdo con pesquisas de la Policía, estos robos ocurren en los establecimientos o son empleados convencidos y adiestrados, que hacen parte de una banda de clonadores.

Sin distinguir la clase de tarjeta, débito y crédito, la información de la banda puede ser hasta magnetizada en un plástico de membresía. “Después que tenga banda, usan cualquier tarjeta”.

Con la información en su poder, los clonadores falsifican una cédula y salen por sus ganancias. Para ello realizan compras de electrodomésticos o tiquetes para viajes en avión, que luego revenden. Incluso, se ha conocido que también ofrecen pagar deudas, créditos o impuestos: “Si usted debe $5 millones, le piden $3 millones o $4 millones y se quedan con el efectivo”.

La entidad encargada de ejercer control sobre negocios que permiten pagos con datáfonos es Incocrédito, que vigila si algún establecimiento es punto de fraudes. Pero, el establecimiento donde el delincuente va a ‘reventar’ –así denomina a realizar compras con la tarjeta clonada– también tiene la obligación de revisar que todo esté en orden.

“La persona que está atendiendo al delincuente, debe mirar la tarjeta y que el nombre coincida con la cédula, y que en el comprobante también correspondan el nombre, los cuatro últimos dígitos, y si es débito o crédito”, afirma el intendente Fernando Ordóñez.

Tres casos

Clonación y retiro en Miami: El pasado viernes, Andrea recibió una llamada de la entidad financiera donde tiene su cuenta de ahorros, en la que le depositan su sueldo. “¿Usted acaba de hacer dos retiros en Miami, Estados Unidos, por $600.000?”, le preguntaron. Respondió que no, que estaba en Bogotá, en su trabajo, y que no conoce Miami. Entonces se dio cuenta de que la tarjeta débito había sido clonada. No sabe en qué momento le robaron su información al usar un cajero electrónico o al hacer un pago por datáfono. Ahora debe hacer un trámite para reclamar su dinero.

Le sacaron $2 millones en Bogotá: Una joven denunció que el pasado 24 de diciembre fue víctima de los clonadores de tarjeta. Recuerda que estando en Cúcuta le llegó un mensaje a su celular que decía que habían retirado $2 millones de un cajero electrónico en Bogotá. Enseguida fue al banco donde tiene su cuenta y denunció la clonación de su tarjeta débito y el robo. “Mostré los tiquetes del vuelo a Cúcuta y copia de los recibos de una compra que 40 minutos antes hice en un almacén de cadena de Cúcuta”, explica. Su caso terminó a los cinco días cuando le devolvieron el dinero con los soportes que entregó.

Robo millonario un mismo día: Josefina cuenta que fue víctima de la clonación de su tarjeta débito, con la cual realizaron tres transacciones en un día a través de internet. Asegura que el primero de septiembre de 2015 compraron dos tiquetes aéreos internacionales: uno por 2 millones y medio y el otro por 3 millones de pesos. Luego realizaron compras de electrodomésticos por valor de 4 millones de pesos. “Cuando me llegó el extracto veo que debía esa cantidad de dinero. Puse la denuncia en la Sijín y en la Fiscalía, y a los 3 meses el banco reconoció que me habían clonado la tarjeta”, relata.

Consejos para prevenir

La Dijín, la Superfinanciera y los bancos realizan las siguientes recomendaciones para evitar la clonación y otros riesgos de fraude:

• No informe a terceros sobre las operaciones realizadas o que vaya a realizar.

•Evite mostrar el dinero que va a consignar antes estar en la caja.

• Cambie la clave con frecuencia y utilice el servicio de alertas y notificaciones, por correo o celular, que le ofrecen los bancos.

• En el cajero, mover con fuerza la facia o el accesorio donde está la ranura por donde se ingresa la tarjeta. • Cubrir con las manos y su cuerpo el teclado al momento de digitar la clave, incluso por dentro del cubreteclado.

• Tocar la facia por arriba, abajo o los lados, a ver si tiene huecos por donde pudieron meter el skimmer.

• No utilice cajeros a altas horas de la noche o que estén poco iluminados.

• No pierda de vista su tarjeta de crédito al momento de hacer un pago.

• Siempre desconfíe de las llamadas en que le ofrecen premios, beneficios, aumento de cupo y otros.

• No llame a los números telefónicos que aparezcan en correos supuestamente enviados por su entidad financiera.

• No acepte ayudas de nadie en los cajeros, aunque parezca un empleado, y si la necesita vaya al banco y pídala.

• En caso de transacciones electrónicas por internet, no haga trámites en computadores públicos y mantenga actualizado el antivirus de su equipo en casa.

• Acceda a la banca virtual de su entidad, digitando directamente la página en la barra de direcciones, no acceder por medio de links que lo inviten acceder a ella.

• Culmine la sesión con las opciones de salida segura que ofrece cada sitio web, tan pronto realice las operaciones o si tiene que retirarse del computador.

• No haga caso a los correos electrónicos que le adviertan sobre problemas en su cuenta o le soliciten la verificación o el suministro de información financiera.

• Nunca proporcionar información confidencial a través de llamadas o correos electrónicos.

Fuente: Elheraldo