Alerta por skimming: qué es y cómo usar los cajeros automáticos de forma segura

Alerta por skimming: qué es y cómo usar los cajeros automáticos de forma segura

En la era de las tecnologías digitales y los pagos sin efectivo, cada vez nos enfrentamos más a nuevos tipos de delitos financieros. Uno de los más peligrosos y extendidos es el skimming: un método sofisticado para robar datos de tarjetas bancarias. Analicemos en detalle qué es el skimming, cómo funciona y qué medidas se pueden tomar para proteger los fondos.

¿Qué es el skimming?

La esencia del skimming es a la vez simple y engañosa. Los delincuentes emplean dispositivos o programas especiales para leer de forma imperceptible la información de su tarjeta. Esto puede suceder cuando paga en una cafetería, retira dinero en un cajero automático o incluso al hacer compras en línea. Los datos obtenidos se usan para fabricar tarjetas falsificadas o para efectuar compras en internet a su nombre.

La historia del skimming comenzó en los años noventa, cuando las tarjetas bancarias empezaban a popularizarse. Al principio se usaban métodos bastante primitivos. Los delincuentes instalaban en los cajeros cubiertas voluminosas que leían la información de la banda magnética de la tarjeta. A menudo ocultaban una pequeña cámara para ver el PIN.

Con el tiempo la tecnología avanzó y el skimming se convirtió en un delito de alta tecnología. Los bancos y los sistemas de pago mejoran continuamente la seguridad, pero los estafadores tampoco se quedan quietos.

Skimming físico: descripción detallada

El skimming físico es una forma de robar datos de tarjetas bancarias mediante dispositivos especiales que se colocan en cajeros automáticos o terminales de pago. El esquema de actuación de los estafadores está pensado al detalle y consta de varias etapas.

Todo comienza con la elección del lugar adecuado. Los delincuentes suelen vigilar cajeros en zonas poco concurridas o actúan de noche. La instalación del skimmer lleva solo segundos. A menudo trabajan en parejas: mientras uno coloca el dispositivo, el otro distrae a transeúntes o al personal de seguridad.

Cuando el skimmer está en su lugar, empieza la recolección de información. El dispositivo copia los datos de la banda magnética de cada tarjeta insertada en el cajero. Con frecuencia los delincuentes instalan además una cámara minúscula o una cubierta sobre el teclado para conocer el PIN. Los skimmers modernos pueden almacenar información de miles de tarjetas.

Después, los estafadores necesitan obtener los datos recopilados. A veces regresan para recuperar el dispositivo, pero con más frecuencia usan tecnologías inalámbricas como Bluetooth o Wi‑Fi para acceder de forma remota.

Con la información en mano, los delincuentes proceden a fabricar falsificaciones. Con instrumentos especiales —codificadores— graban los datos robados en tarjetas plásticas vírgenes con banda magnética.

El acto final es el blanqueo de fondos. Los estafadores usan las tarjetas falsificadas para retirar dinero de cajeros. Para dificultar su captura, a menudo realizan estas operaciones en el extranjero.

Tipos de dispositivos de skimming

Existen varios tipos de dispositivos utilizados para el skimming. Cada uno tiene sus particularidades y modos de uso.

  1. Cubiertas para el lector de tarjetas – el tipo de skimmer más común. Pueden fabricarse con impresoras 3D para ajustarse al diseño del cajero y contienen un lector reducido de la banda magnética.
  2. Teclados falsos se colocan encima del teclado original del cajero y registran las pulsaciones, capturando los PIN. Los modelos modernos pueden ser tan delgados que son prácticamente imperceptibles para el usuario medio.
  3. Cámaras minúsculas a menudo se ocultan en cubiertas del cajero o en materiales publicitarios cercanos. Este dispositivo graba en vídeo el proceso de introducción del PIN y transmite la información a los operadores.
  4. Dispositivos para interceptar datos del chip – más complejos y raros. Se insertan en la ranura de lectura del chip y pueden interceptar datos incluso de chips EMV protegidos.
  5. Shimmers son dispositivos ultrafinos que se introducen directamente en la ranura para la tarjeta. Pueden leer datos tanto de la banda magnética como del chip y son prácticamente imposibles de detectar visualmente.

Skimming en línea: la amenaza invisible en la red

El avance tecnológico ha dado lugar a una nueva forma de fraude: el skimming en línea. También se le llama web‑skimming o formjacking. A diferencia del skimming físico, esta amenaza no acecha en el cajero, sino en internet.

El esquema comienza cuando los hackers encuentran vulnerabilidades en la seguridad de sitios web. Inyectan código JavaScript malicioso en las páginas de pago de tiendas en línea. Este código suele enmascararse como scripts de análisis inofensivos para no despertar sospechas entre los administradores del sitio.

Cuando un comprador desprevenido introduce los datos de su tarjeta en un sitio infectado, el código se activa. Intercepta al instante toda la información ingresada y la envía a los estafadores. Los scripts maliciosos actuales son tan sofisticados que pueden eludir incluso la autenticación de dos factores.

Para ocultar sus rastros, los delincuentes emplean esquemas complejos de reenvío de datos. La información robada pasa por varios servidores antes de llegar a los estafadores.

Con los datos de las tarjetas, los delincuentes actúan de distintas maneras. Algunos los usan inmediatamente para compras en línea o retiros de dinero. Otros venden la información en el mercado negro, donde otros criminales pueden comprarla.

Casos conocidos de skimming: detalles de ataques sonados

La historia del skimming cuenta con varios casos sonados que llamaron la atención pública y llevaron a empresas y bancos a revisar sus sistemas de seguridad.

Uno de los más conocidos fue el ataque a la cadena de tiendas Target en 2013. Los delincuentes introdujeron malware en terminales POS, lo que provocó la filtración de datos de más de 40 millones de clientes. La empresa sufrió pérdidas por más de $200 millones, y el caso impulsó un notable refuerzo de las medidas de seguridad en el comercio minorista de Estados Unidos.

En 2016, Tailandia sufrió un ataque masivo de skimmers en cajeros ubicados en zonas turísticas populares. Miles de turistas de distintos países resultaron afectados y el monto total del perjuicio ascendió a varios millones de dólares.

Un caso muy divulgado ocurrió en 2018, cuando hackers atacaron el sitio de British Airways. Los delincuentes robaron datos de alrededor de 380 000 transacciones. Tras largos procesos judiciales, la compañía fue multada con £20 millones.

Ese mismo año se produjo una de las mayores filtraciones de datos de la historia: la intrusión en los sistemas de reservas de la cadena de hoteles Marriott. Se sustrajeron datos personales de más de 500 millones de huéspedes, incluidos números de pasaporte y datos de tarjetas de crédito.

Tecnologías contra el skimming

En respuesta a la creciente amenaza del skimming, se desarrollan e implementan diversas tecnologías de protección. Bancos y fabricantes de equipos mejoran continuamente los métodos para combatir a los estafadores.

  1. Una de las principales medidas de protección son los dispositivos anti‑skimming. Los bancos colocan en los cajeros cubiertas especiales que impiden la instalación de skimmers. Algunos modelos incluyen sensores que alertan sobre intentos de manipulación.
  2. La autenticación biométrica gana popularidad. El uso de huellas dactilares o el escaneo facial para confirmar la identidad dificulta considerablemente el robo de datos.
  3. La tecnología de chips EMV supuso un avance real contra el skimming. Los chips generan un código único para cada transacción, lo que hace que los datos robados sean inútiles para reutilizarlos.
  4. Los bancos implementan activamente sistemas de aprendizaje automático e inteligencia artificial para detectar operaciones sospechosas. Los algoritmos analizan el comportamiento de los clientes y pueden bloquear transacciones que no encajan con el patrón habitual.
  5. La tokenización es otra tecnología que aumenta la seguridad de los pagos. Sustituye los datos reales de la tarjeta por tokens únicos, lo que resulta especialmente efectivo en sistemas de pago móvil como Apple Pay y Google Pay.

Datos curiosos sobre el skimming

A lo largo de los años se han recopilado varios datos curiosos que ayudan a entender mejor la magnitud y las características de este tipo de fraude.

Las legislaciones nacionales tratan el skimming de maneras distintas. En algunos países este delito puede castigarse con hasta 15 años de prisión. En Estados Unidos, la legislación federal considera el skimming una forma de robo de datos personales con una pena potencial de hasta 30 años de cárcel.

Curiosamente, existen formas legales de skimming. A veces los bancos usan tecnologías similares para verificar tarjetas, por ejemplo, al investigar casos de fraude o para probar sus sistemas de seguridad.

Los skimmers modernos suelen incluir tecnologías inalámbricas. Pueden transmitir datos mediante Bluetooth o redes móviles, lo que permite a los estafadores recibir la información sin acercarse al cajero. El alcance de estos dispositivos puede llegar a varios cientos de metros.

La magnitud del problema es alarmante. Según la Asociación Europea para la Seguridad de las Transacciones, las pérdidas anuales por skimming en Europa ascienden a cientos de millones de euros. En 2018 esa cifra alcanzó los 228 millones de euros.

El skimming no se limita a los cajeros automáticos. Dispositivos para robar datos se han encontrado en lugares inesperados: en estaciones de servicio, en máquinas expendedoras e incluso en sistemas de pago de estacionamiento.

¿Cómo puede protegerse?

  • Inspeccione cuidadosamente los cajeros antes de usarlos. Preste atención a detalles o cubiertas inusuales.
  • Cubra con la mano el teclado al introducir el PIN.
  • Siempre que sea posible, utilice cajeros dentro de las sucursales bancarias.
  • Active las alertas por SMS sobre las operaciones con la tarjeta.
  • Revise regularmente los extractos de su cuenta.
  • Utilice únicamente sitios de confianza para compras en línea.
  • Establezca límites para retiros en efectivo y operaciones en línea.
  • No facilite a nadie los datos completos de su tarjeta, incluido el código CVV.
  • Use tarjetas virtuales para pagos por internet.
  • Instale software antivirus en todos los dispositivos desde los que realiza pagos.
Alt text
article-title

Techno Lady