De todos los métodos utilizados por los ciberdelincuentes para conseguir dinero fácil, queremos explicar hoy la clonación física de tarjetas de crédito y débito (también conocido como ciberataque de SKIMMING) y el uso fraudulento que se haga de la misma (llamado CARDING). Por lo que los cibercriminales no siempre utilizan internet para hacerse con nuestros datos personales y, especialmente, con la información de nuestra tarjeta (número de tarjeta, fechas de vencimiento, números de seguridad y PIN del usuario).
¿Cuáles son las técnicas más frecuentes que podemos sufrir físicamente?
- Cajeros automáticos falsos: El ciberdelincuente manipula un cajero automático de una sucursal bancaria o un punto de venta vending. Además de instalar una cámara oculta para obtener el número PIN o información de la cuenta bancaria, sustituye elementos del cajero para que, al introducir la tarjeta, la banda magnética o el chip puedan ser copiados. Así, el ciberdelincuente únicamente tendrá que recoger esos datos y copiarlos en una nueva tarjeta en blanco, y ya tendrá su copia clonada que podrá utilizar como la original.
- Dispositivos de pago fraudulentos: Cuidado con el pago a través de TPV fuera de establecimientos oficiales o en lugares inusuales (calles, mercados, etc.). Los ciberdelincuentes pueden hacerse con uno de estos dispositivos y utilizarlos en lo que aparentemente es una venta o pago normal. Para poder clonar la tarjeta será necesario introducirla en el TPV, ya que a través de contactless el ciberdelincuente no podrá hacerse con el número PIN.
- Dispositivos electrónicos de clonación: La Proxmark o el Flipper son dispositivos electrónicos muy utilizado por ciberdelincuentes y estafadores, dado que con solo acercarlos a nuestra tarjeta de crédito o a nuestro teléfono (si tenemos las tarjetas en el mismo) permite clonar todos los datos en cuestión de segundos (a diferencia de la TPV). Lo más habitual es que el delincuente se acerque físicamente a nosotros, ya sea en el transporte público, en una tienda o incluso mientras estamos esperando nuestro turno en un supermercado.
De estos dos dispositivos (Proxmark y Flipper) volveremos a hablar en próximos TIPS relacionados con otros usos fraudulentos; como el acceso no autorizado a edificios, la desactivación de sistemas de alarma o el robo de vehículos.
¿Cómo podemos detectarlo y evitarlo?
- Tapar el teclado al introducir el PIN, ya sea pagando en una tienda o sacando efectivo en un cajero automático, y alertar de cualquier acción que consideremos sospechosa.
- Fuera de establecimientos oficiales, especialmente si estamos de viaje, a veces es más seguro pagar en efectivo o a través del contactless del móvil, que requiere que validemos la compra con el PIN de desbloqueo de pantalla o nuestra huella dactilar/facial. De esta forma, les faltará información necesaria para clonar 100% la tarjeta. Además, si tenemos activado el doble factor de autentificación o verificación personal con nuestro banco, la entidad bancaria notificará al instante a nuestro teléfono móvil cualquier pago o cargo realizado. Por lo que podríamos reconocer aquellos que no hayamos realizado nosotros.
- Cuando estemos en lugares en los que haya muchas personas (eventos, ferias, congresos, visitas turísticas, tiendas, transportes, etc.) debemos tener en todo momento vigiladas nuestras pertenencias. Especialmente si habitualmente llevamos nuestras carteras y monederos en el bolsillo trasero del pantalón o en el bolsillo exterior de un bolso o mochila. A pesar de la capa textil, la Proxmark sería capaz de clonar perfectamente la tarjeta debido al contactless de la misma.
NOTA IMPORTANTE: Si tenemos la sospecha de ser víctimas de un ciberataque, recomendamos como siempre en el ámbito profesional solicitar apoyo al Dpto. IT, al Responsable de Seguridad o al superior directo. Y a nivel personal denunciarlo a las autoridades policiales.
*Fecha de envío: 10 de marzo de 2025