Un jueves de febrero estaba descansando y mirando televisión cuando mi velada fue interrumpida por el ping de un mensaje de texto de mi banco.
“En breve recibirás un SMS para confirmar la actividad reciente en tu tarjeta”.
Estaba desconcertado. Ciertamente no había hecho ninguna compra extraña o inesperada ese día, entonces, ¿a qué se debía esto? Unos 30 segundos después, recibí mi respuesta en un segundo mensaje de texto.
Decía que los datos de mi tarjeta de crédito se habían utilizado menos de un minuto antes para intentar realizar un pago de £108 en una tienda con un nombre desconocido.
Una búsqueda rápida en línea reveló que se trataba de un supermercado en la ciudad de Paramaribo, Surinam, un pequeño país en la costa noreste de América del Sur, que limita con Brasil, Guyana y la Guayana Francesa. Eso está bastante lejos de mi casa en Londres, así que estaba bastante seguro de no haber entrado en esa tienda a comprar nada en los últimos 60 segundos.
La alerta me pidió que confirmara la transacción respondiendo “Sí” o “No”. Se me pasó por la cabeza que quizás se trataba de una estafa de doble o triple engaño y que al responder a un mensaje de texto inesperado estaría cometiendo un gran error. Por si acaso, prefiero llamar al banco.
Confirmaron que sí, que alguien había intentado utilizar los datos de mi tarjeta a más de 4.500 millas de Londres, pero el intento de pago fue bloqueado por ser sospechoso, por lo que no se robó dinero.
Cancelé mi tarjeta y pedí una nueva como medida de seguridad recomendada, dado que alguien más tenía mis datos. Pero como periodista me quedé preguntándome ¿cómo sucedió esto?
¿Cómo fue que mis datos bancarios fueron robados de alguna manera, pasados a alguien en el otro lado del mundo y utilizados casi con éxito en lo que parecía ser un pequeño minorista en Surinam?
Las tarjetas de crédito son una solución y parte del problema
Las tarjetas de débito y crédito son una parte de la vida cotidiana en la que no pensamos, pero no hace mucho tiempo habrían parecido un concepto extraño para quienes usan moneda física para comprar cosas. La primera tarjeta de crédito del Reino Unido se emitió en 1966, mientras que la primera tarjeta de débito no llegó al Reino Unido hasta 1987.
Actualmente, hay más de 51 millones de titulares de tarjetas de débito en el Reino Unido, lo que representa el 96 % de los adultos, mientras que más de 32 millones de adultos del Reino Unido tienen una tarjeta de crédito. Según la asociación comercial UK Finance, el gasto total en tarjetas de crédito y débito representó más de £800 mil millones durante 2018, con más de 20 mil millones de transacciones a lo largo del año.
La creciente popularidad del uso de pagos con tarjeta (ayudada por las compras en línea y la posibilidad de realizar pagos sin contacto en las tiendas) es tal que ha superado al efectivo como forma de pago más común en el Reino Unido, y el número de pagos con tarjeta sigue creciendo.
VER: Política de protección contra robo de identidad (Premium de TechRepublic)
También los usamos mucho más en línea. Eso hace que sea más fácil para todos nosotros comprar todo tipo de bienes y servicios, pero también significa que si los delincuentes tienen los detalles, pueden usar su cuenta incluso si la tarjeta física está segura en su bolsillo, porque con las compras en línea, que solo requieren Al ingresar los números de tarjetas de crédito, no es necesario que la tarjeta esté presente.
Y la desafortunada verdad es que los delincuentes tienen acceso a muchos números de tarjetas de crédito, gracias a oleadas casi constantes de filtraciones de datos por parte de empresas grandes y pequeñas.
Hay más de 51 millones de titulares de tarjetas de débito en el Reino Unido, lo que representa el 96% de los adultos.
Imagen: Getty Images/iStockphoto
Entonces, ¿cómo obtienen los ciberdelincuentes acceso a todos estos datos, cómo los comercian y qué tamaño tiene esta economía clandestina ilícita?
“Es una pregunta realmente interesante porque no tiene una respuesta clara. Suena muy rumsfeldiano, pero simplemente hay incógnitas”, dice Troy Hunt, creador de Have I Been Pwned?, un sitio web que permite a las personas comprobar si su correo electrónico dirección, contraseña u otros datos personales se han visto comprometidos en una infracción.
¿Me han engañado? Actualmente contiene datos sobre casi 10 mil millones de cuentas comprometidas de más de 450 sitios web y volcados de datos que los piratas informáticos han hecho públicos, pero es casi seguro que esto es solo una muestra de la información que ha sido robada a lo largo de los años, porque hay muchas más violaciones de datos en las que Los piratas informáticos no han divulgado públicamente los datos.
Descargue este artículo en formato PDF (se requiere registro gratuito).
“Sabemos que hay una gran cantidad de incidentes que han aparecido en los titulares y que no están en el sistema”, dice Hunt.
También hay muchas más infracciones en empresas más pequeñas que quizás ni siquiera aparezcan en los titulares, pero que aún así podrían implicar el robo de datos personales de miles de personas.
Las empresas deben tener más cuidado con sus datos
Hay varias formas en que los delincuentes pueden robar datos.
Un ejemplo clásico de esto es el malware de punto de venta (PoS), que es un software malicioso que las bandas instalan en los terminales PoS que tiendas, restaurantes, bares y otros minoristas utilizan para aceptar pagos con tarjeta, una parte clave de casi cualquier negocio minorista.
Y es porque son parte del mobiliario que muchos de estos sistemas son tan vulnerables, porque las organizaciones olvidan que son sistemas informáticos que pueden contener vulnerabilidades y necesitan ser actualizados. Las empresas pueden pasar años sin darse cuenta de que la información de pago de los clientes se copia y roba cada vez que se realiza una transacción.
Es posible instalar malware físicamente en terminales PoS, pero dichos sistemas también pueden verse comprometidos en la propia red corporativa como resultado de una campaña de piratería.
El ataque podría comenzar con un correo electrónico de phishing dirigido a empleados desprevenidos o un enfoque más técnico dirigido a los puertos remotos de la red con acceso a Internet como una forma de ingresar a la red y moverse a través de la red hasta la unidad PoS para instalar malware.
Esto es posible porque la mayoría de los sistemas PoS se ejecutan en una versión modificada de Windows, lo que significa que la computadora puede ser vulnerable a ataques como otros dispositivos Windows. Y aunque la mayoría de los sistemas Windows en una red deberían recibir parches de seguridad periódicos para garantizar que no puedan ser víctimas de ataques, es muy fácil que se olvide el terminal PoS.
Ese fue el caso del minorista Dixons Carphone, que tenía malware PoS instalado en más de 5.000 terminales entre julio de 2017 y abril de 2018 y los piratas informáticos accedieron a la información de las tarjetas de más de cinco millones de clientes.
Un informe de la Oficina del Comisionado de Información señaló “fallos sistemáticos” en la forma en que el minorista salvaguardaba los datos personales y gestionaba la seguridad de sus redes, incluida la falta de parches en los sistemas contra vulnerabilidades conocidas.
Los sistemas PoS pueden ser vulnerables a ataques, al igual que otros dispositivos Windows.
Imagen: Getty Images/iStockphoto
Hay expectativas de que las empresas más grandes, en su mayor parte, presupuestarán la seguridad de TI y actualizarán la red cuando sea necesario, pero para las empresas más pequeñas ese enfoque podría no ser tan simple; sin embargo, también serán el objetivo de los piratas informáticos, especialmente si son vistos como un blanco fácil.
“El cambio es difícil para todos, especialmente para las pequeñas empresas. Si esa terminal de tarjeta de crédito funciona, ¿quieres gastar cientos de dólares para actualizar a un nuevo sistema que tienes que aprender a utilizar? Las empresas sólo quieren que les paguen normalmente”, dice Kevin Lee, arquitecto de seguridad y confianza digital en Sift, una empresa de prevención de fraude en pagos.
Es por eso que el malware PoS sigue siendo tan común y, potencialmente, es la razón por la que me robaron los datos de mi tarjeta. Pero está lejos de ser la única forma en que podría haber ocurrido.
VER: Kit de contratación: analista de seguridad (Premium de TechRepublic)
Otro medio común de robo de información de tarjetas es directamente en los cajeros automáticos. Si bien es posible instalar malware de forma remota en cajeros automáticos (después de todo, son en su mayoría solo PC con Windows y, a menudo, versiones antiguas de Windows), la manipulación física de los dispositivos proporciona a los atacantes un medio aún más sencillo de robar datos bancarios.
En estos ataques de skimming, los delincuentes colocan sus propios componentes de lectura de tarjetas encima del dispositivo real, lo que les permite no solo ver los detalles de la tarjeta contenidos dentro de la banda magnética, sino también ver el código PIN, proporcionándoles todos los datos que necesitan. necesita realizar pagos y retiros, o recopilar esa información para venderla.
Descargue este artículo en formato PDF (se requiere registro gratuito).
“Es muy posible que haya usado su tarjeta en un cajero automático y haya habido un skimmer que haya leído su tarjeta y alguien haya descubierto cómo clonar su tarjeta y venderla en línea. Eso es completamente factible: es posible que su tarjeta no haya estado involucrada en una violación en absoluto, sino un vistazo”, dice Leigh-Anne Galloway, jefa de investigación de seguridad comercial en Cyber R&D Lab.
“Todavía hay una gran cantidad de skimmers en circulación. Siguen siendo bastante populares porque funcionan”.
Tus datos podrían estar en un mercado clandestino
En algunos casos, los delincuentes utilizarán la información de la tarjeta robada para sí mismos, simplemente utilizando los detalles para clonar la tarjeta o realizar compras en línea. Pero vincular las compras realizadas con una tarjeta robada directamente a su propia identidad corre el riesgo de que los descubran más temprano que tarde.
Es por eso que vender datos de tarjetas robadas en línea es la opción de menor riesgo para los delincuentes que tienen una gran cantidad de datos de tarjetas de crédito para vender. Y como las filtraciones de datos a gran escala son tan comunes, los mercados clandestinos de cibercriminales especializados en el comercio de información robada están extremadamente ocupados.
“Los ciberdelincuentes simplemente buscan una manera de monetizar los datos que obtienen y, a menudo, es mucho más complicado de lo que la gente cree. Si eres bueno escribiendo malware, pero no sabes qué hacer con la información de la tarjeta de crédito, Por eso uno recurre a la clandestinidad”, dice Liv Rowley, analista de inteligencia de amenazas de Blueliv. “A veces, tras una filtración de datos, queda claro que se pasa por alto”, afirma.
Hay docenas de tiendas de tarjetas diferentes al mismo tiempo, ya que los delincuentes intentan intercambiar datos robados sin dejar de estar fuera de los ojos de la ley. Algunos permanecen en el negocio durante mucho tiempo, mientras que otros son cerrados, ya sea por las autoridades o por los propios operadores en un esfuerzo por evitar ser descubiertos. Uno de los más grandes y exitosos es Joker's Stash, que a menudo se utiliza como una forma de vender millones de detalles de tarjetas de crédito y otra información personal en cualquier momento.
Rowley: “Los ciberdelincuentes simplemente buscan una forma de monetizar los datos que obtienen”.
Imagen: Getty Images/iStockphoto
Este foro en particular también tiene vínculos con Fin7, un prolífico grupo de piratería que ha robado detalles sobre millones de tarjetas de crédito de minoristas, restaurantes, casinos y otros a lo largo de los años. Si Fin7 está detrás de una violación de datos, los detalles suelen aparecer a la venta en Joker's Stash.
A principios de este año, las autoridades estadounidenses vincularon directamente a Fin7 con Joker's Stash, entre otros foros de tarjetas, en una acusación tras el arresto de ciudadanos ucranianos acusados de ser miembros del grupo de hackers.
Sin embargo, no parece que el robo de mis datos estuviera relacionado con ninguna de estas violaciones (al menos con cualquiera que esté a la luz pública), entonces, ¿cuáles son las otras opciones si fueron robados en una violación de datos?
Hay foros de tarjetas más pequeños a los que los usuarios acuden para vender los datos que han robado, y los compradores potenciales pueden intercambiar para comprar tantos o tan pocos como quisieran…