¿Qué es la clonación de tarjetas?
La clonación de tarjetas de crédito o skimming es el acto ilegal de hacer copias no autorizadas de tarjetas de crédito o débito.
Esto permite a los delincuentes utilizarlas para realizar pagos, robando efectivamente el dinero del titular de la tarjeta y/o endeudándolo.
Para ello, los ladrones utilizan equipos especiales, a veces combinados con simples ataques de ingeniería social. La clonación de tarjetas ha sido históricamente uno de los tipos de fraude relacionados con las tarjetas más comunes en todo el mundo, por el que se pierden 28.650 millones de dólares al año en todo el mundo, cifra que se prevé que aumente a 38.500 millones de dólares en 2023, según Nilson Report.
Como se hace la clonación de tarjetas
La clonación de tarjetas es un esquema criminal bastante elaborado. Más concretamente:
- Se recluta a un cómplice, alguien con acceso físico a las tarjetas de crédito, por ejemplo, un cajero, un camarero de restaurante, etc.
- Se le entrega un skimmer, una máquina compacta que se utiliza para capturar los datos de las tarjetas. Puede ser una máquina independiente o un complemento del lector de tarjetas.
- El cliente entrega su tarjeta al cómplice, como pago.
- El cómplice pasa la tarjeta por el skimmer, además de la máquina de TPV utilizada para el pago normal.
- El cómplice devuelve la tarjeta al cliente desprevenido.
- El ladrón transfiere los datos capturados por el skimmer a la banda magnética de una tarjeta falsificada, que podría ser una tarjeta robada.
- La tarjeta falsificada puede utilizarse ahora de la misma manera que una tarjeta legítima, o para cometer otros fraudes, como el uso de tarjetas de regalo y otras tarjetas.
Hay, por supuesto, variaciones en este sentido. Por ejemplo, algunos delincuentes colocan skimmers en los cajeros automáticos o en los lectores de tarjetas manuales. Mientras sus usuarios pasen o introduzcan su tarjeta como de costumbre y el delincuente pueda volver a recoger su dispositivo, el resultado es el mismo: al pasar una tarjeta de crédito o débito por el skimmer se captura toda la información contenida en su banda magnética.
Además, los ladrones pueden hacer shoulder-surfing o utilizar técnicas de ingeniería social para averiguar el PIN de la tarjeta, o incluso la dirección de facturación del propietario, para poder utilizar los datos de la tarjeta robada en más escenarios.
Como evitar la clonación de tarjetas de crédito
Entre las estrategias desplegadas por el sector financiero, las autoridades y los minoristas para hacer menos fácil la clonación de tarjetas se encuentran:
1. Microchips EMV en lugar de bandas magnéticas
Estos contienen valores iCVV más avanzados que los de las bandas magnéticas, y no pueden ser copiados mediante skimmers.
Sin embargo, los delincuentes han encontrado formas alternativas de atacar este tipo de tarjetas, así como métodos para copiar los datos del chip EMV en las bandas magnéticas, clonando de hecho la tarjeta, según los informes de 2020 en Security Week.
Las tarjetas de crédito y débito pueden revelar más información de la que muchos profanos podrían esperar. Puedes introducir un BIN para saber más sobre un banco en el módulo de abajo:
¡Consulta BIN gratuita!
Introduce los primeros 6 u 8 dígitos de un número de tarjeta (BIN/IIN)
Texto aquí
2. Perfiles de clientes
Mediante la creación de perfiles de clientes, a menudo utilizando el machine learning y algoritmos avanzados, los gestores de pagos y los emisores de tarjetas adquieren una valiosa información sobre lo que se consideraría un comportamiento «normal» para cada titular de la tarjeta, señalando cualquier movimiento sospechoso para realizar un seguimiento con el cliente.
Una versión simple de esto es que un consumidor reciba una llamada de su banco para confirmar que ha pasado su tarjeta en una parte del país en la que no ha estado activo antes.
3. Educar al público
Convertir al público en general en un aliado en la lucha contra el fraude de las tarjetas de crédito y débito puede redundar en beneficio de todos. Las principales compañías de tarjetas, los bancos y las marcas de fintech han emprendido campañas para alertar al público sobre los distintos tipos de fraude relacionados con las tarjetas, al igual que las autoridades locales y regionales, como Europol en Europa. Curiosamente, parece que el público está respondiendo bien.
En julio de 2021, Elena Emelyanova, responsable de fraudes de Wargaming, explicó en un episodio de nuestro podcast Cat and Mouse (en inglés):
«La gente se ha vuelto más sofisticada y más educada. Tenemos algunos casos en los que vemos que la gente sabe cómo luchar contra las devoluciones de cargos, o conocen las restricciones desde el punto de vista del comerciante. Gente que no entendía la diferencia entre reembolso y devolución de cargos. Ahora lo saben».
4. Responsabilidad, leyes y reglamentos
Debido a la normativa y la legislación gubernamentales, los proveedores de tarjetas tienen un gran interés en prevenir el fraude, ya que son ellos quienes deben pagar la factura del dinero perdido en la mayoría de las situaciones.
Para los bancos y otras instituciones que proporcionan tarjetas de pago al público, esto constituye un fuerte incentivo adicional para salvaguardar sus procesos e invertir en nueva tecnología para luchar contra el fraude de la manera más eficiente posible.
La legislación actual varía según el país, pero en la mayoría de los lugares se puede recurrir a los servicios del defensor del pueblo para cualquier transacción controvertida, lo que aumenta la presión sobre las empresas de tarjetas. Por ejemplo, el Defensor del Pueblo Financiero del Reino Unido recibió 170.033 nuevos reclamos sobre banca y crédito en 2019/2020, de lejos el tipo más frecuente, pasando a afirmar, en su Informe Anual de Datos y Perspectivas de Reclamaciones:
«Hemos sido claros al decir que esperamos que las empresas apliquen las normas y orientaciones pertinentes -incluyendo, pero sin limitarse a ello, el código CRM-. Si surgen reclamos, las empresas deben basarse en nuestras orientaciones y en las decisiones anteriores para alcanzar resultados justos».
¿La clonación de tarjetas sigue siendo una amenaza?
Con los emisores y las redes de tarjetas de pago reforzando la seguridad e introduciendo nuevas tecnologías, y con los consumidores volviéndose más astutos, se cree que la clonación de tarjetas está disminuyendo, y que las tarjetas falsificadas solo representan el 2% de las pérdidas por fraude con tarjetas en 2019, en comparación con el 13% en 2010, según un informe de 2020 de UK Finance.
Parece que el foco de atención se ha desplazado a otros métodos, como los ataques de tarjeta no presente (CNP) y el uso de la tecnología NFC para obtener los detalles de las tarjetas habilitadas sin contacto.
Sin embargo, esto no significa que la clonación de tarjetas haya cesado. Por ejemplo, en enero de 2021 se robaron los datos de las tarjetas de débito de más de 500 clientes mediante clonación de tarjetas en la India. Las autoridades detuvieron a cuatro hombres y recuperaron tres skimmers de tarjetas de crédito, con los que habían realizado pagos por valor de 150.000 INR.
Junto con sus más recientes encarnaciones y variaciones, el skimming de tarjetas es y debe seguir siendo una preocupación para las organizaciones y los consumidores.