Tarjeteros Terroristas

La modalidad más global y sofisticada de Robo de Identidad  

Por Joel A. Gómez Treviño

Todos hemos escuchado en las noticias, en reuniones familiares o sociales e inclusive en el trabajo, que alguien cercano o conocido ha sido víctima de la “clonación de tarjetas” de crédito o débito. Los más cautos, piden a los meseros traer las terminales remotas a la mesa para poder hacer uso de la tarjeta sin perderla de vista. Cada día vivimos con miedo a soltar nuestras tarjetas de crédito o débito, por temor a que sean clonadas.

Tan grave fue el problema en nuestro país, que algunas instituciones financieras presionaron a los legisladores del Distrito Federal para que tipificaran “la clonación de tarjetas” (y otras conductas similares) como delito grave en el Código Penal para el D.F. (Art. 336 fr. VI). El Estado de México, Puebla y Quintana Roo se sumaron a esta modificación legislativa. Por su parte, el pasado 26 de marzo de 2008, la Cámara de Diputados aprobó reformas a la Ley de Instituciones de Crédito, la Ley General de Títulos y Operaciones de Crédito, el Código Federal de Procedimientos Penales y al Código Penal Federal con el objeto de tipificar y castigar la clonación de tarjetas de crédito o débito.

De acuerdo a la Asociación de Banqueros de México, el 80% de las pérdidas anuales que  sufre el sector bancario (80 millones de dólares) se deben al fraude de tarjetas. Sin embargo, hoy en día podría podríamos afirmar que esta modalidad de “clonación” es la más primitiva y la de menor impacto, si consideramos otros modus operandi de bandas criminales que operan a nivel internacional.

Desde el 2004 a la fecha, las autoridades e instituciones han estado cada vez más expuestas y más preocupadas por un fenómeno criminal mundial en el que intervienen desde jóvenes hackers inexpertos hasta terroristas y extremistas del medio oriente: el Tarjeteo. ¿Verdad que suena ridículo el término? Con su permiso, y a riesgo de ser acusado de malinchista, prefiero referirme de ahora en adelante a este término como “Carding” o “Carders”, para ubicar a los protagonistas de esta actividad criminal.

Con el avance de la tecnología, el compromiso (robo) de información a gran escala es casi un juego de niños. Se trata de una exposición, revelación o pérdida de información personal sensible, no autorizada o sin intención, que sufre una organización o empresa. Los ciber criminales acceden remotamente a sistemas informáticos de gobierno, universidades, comerciantes, instituciones financieras, empresas de tarjetas de crédito y procesadores de información, para robar grandes volúmenes de información personal de individuos.

Bandas criminales organizadas en todo el mundo usan foros de discusión (carding forums) para dedicarse a la venta de información personal y financiera robada. Estos foros regularmente ofrecen los mismos “servicios” a sus “clientes”: (1) Tutoriales sobre diferentes tipos de actividades relacionadas al “tarjeteo” (carding); (2) mensajes públicos y privados que permiten a los miembros comprar y vender bloques de información robada; (3) ligas para descargar herramientas de hackeo y código malicioso para realizar intrusiones informáticas; (4) código fuente para hacer sitios web para phishing; etc. Estos sitios web constituyen el mercado negro para la venta de información personal robada.

Desde 2005, ha surgido un gran número de compromisos de información de alto perfil involucrando el robo de grandes volúmenes de información personal. Esta explosión empezó con el compromiso de 163,000 registros financieros de consumidores almacenados en sistemas informáticos de la empresa Choicepoint, Inc.

Tres de los más grandes compromisos de información altamente publicitados en los años recientes son: DSW, Inc. (1.4 millones de números de tarjetas de crédito robadas), CardSystems Solutions, Inc. (239,000 registros de tarjetas de crédito robados) y TJX Companies, Inc. (94 millones de cuentas afectadas). En todos los casos, las autoridades encontraron que las empresas fallaron en tomar medidas razonables de seguridad para proteger su información sensible; concretamente la información personal contenida en las cintas magnéticas de las tarjetas de crédito y débito de sus clientes, que fue almacenada en las computadoras de las organizaciones.

Si se preguntan cómo es que salen a la luz pública esta clase de intrusiones informáticas, cuando lo lógico es que toda empresa víctima de esta clase de delitos lo primero que desearía es que esto nunca sucediera, la respuesta es simple: muchos estados de la unión americana tienen leyes que obligan a las empresas que manejen información a que notifiquen a sus clientes cualquier evento de compromiso de información que involucre la adquisición no autorizada de información personal.

En Estados Unidos, los daños a los consumidores por esta clase de delitos son menores o inclusive inexistentes, ya que por ley, la responsabilidad de los consumidores por uso no autorizado de tarjetas de crédito y débito está limitada a $50 dólares. Sin embargo, los consumidores pueden verse afectados por otra clase de molestias, como la invasión a su privacidad y el daño a su reputación crediticia.

Por su lado, el daño a las instituciones financieras y las empresas de donde es robada la información de las cuentas de los usuarios si es significativo. Una entidad que sufre estas intrusiones, tiene que hacer frente a (1) los costos asociados con la impresión de nuevas tarjetas, (2) los costos asociados con el monitoreo de cuentas sospechosas de fraude, y (3) las pérdidas derivadas del fraude. Además, probablemente sean víctimas de demandas, impacto negativo en la bolsa, negocios perdidos, clientes perdidos, multas, etc.

Si a estas alturas del artículo a usted le surge la duda: “pero… ¿esto que tiene que ver conmigo o mi empresa? ¡Que se preocupen los bancos!”, pues lamento informarle que no solo los bancos o instituciones financieras son víctimas de este tipo de fraudes, sino virtualmente cualquier empresa, comerciante o entidad que maneje y almacene información personal o financiera de sus clientes considerada como sensible (tarjetas de crédito, nombres, direcciones, datos de identificaciones, etc.) En los Estados Unidos, supermercados, cadenas de zapaterías, tiendas de electrónicos y sobre todo empresas que realizan actividades de comercio electrónico están siendo demandadas por esta clase de intrusiones informáticas que terminan en compromisos de información a gran escala.

A diferencia de otros tipos de robo de identidad, el carding involucra el robo a gran escala de números y cuentas de tarjetas de crédito y otra clase de información financiera. Otros métodos a menor escala para el robo de identidad son: hurgando en la basura (dumpster diving), skimming (clonación de tarjetas en cajeros automáticos), phishing (ingeniería social aplicada para obtener datos personales) y otros viejos métodos de robo.

La conducta conocida como “carding” no solo incluye la manera o métodos que los criminales usan para obtener y vender la información personal robada, sino desde luego, lo más importante, también se refiere a cómo obtener un lucro o dividendos de este particular robo de identidad.

A saber, existen cuatro tipos de “tarjeteo”: online carding, in-store carding, cashing y venta de tarjetas de regalo. El online carding se refiere al uso de información robada de tarjetas de crédito para la compra de productos y servicios a través de Internet. Como el término lo sugiere, in-store carding implica que el criminal presente ante un cajero de una tienda física una tarjeta “clonada” en la que ha sido previamente codificada la información robada de tarjetas de crédito.

Por cashing debemos entender lo que en México la industria bancaria y de cajeros automáticos conocemos como “ordeñamiento de tarjetas”. Un individuo visita cajeros automáticos, usualmente a horas de poco tránsito de clientes, con decenas o cientos de tarjetas clonadas que traen codificada la información robada y los NIPs anotados sobre cada plástico. El último tipo de carding consiste en comprar tarjetas de regalo, comunes en todas las grandes tiendas y almacenes de prestigio, usando tarjetas clonadas, para después revenderlas en el mercado negro por un porcentaje de su valor real.

Las autoridades en Estados Unidos no se han quedado cruzadas de brazos y desde hace años han emprendido una batalla campal en contra de los “Carding Forums”; muchos de ellos han sido desarticulados y sus administradores están siendo enjuiciados por diversos delitos. Individuos en Estados Unidos, Rusia, Reino Unido e Indonesia han sido arrestados por estos crímenes. En las investigaciones conducentes, las autoridades han encontrado que muchos de estos delincuentes son terroristas y narcotraficantes, que usan el carding como medio para fondear y sostener sus otras actividades ilícitas.

El 22 de septiembre de 2008, la oficina del Procurador de Massachusetts publicó en un boletín de prensa que varios hombres de Miami, Florida (Christopher Scott y Albert González, entre otros) fueron sentenciados en una corte federal por conspirar electrónicamente para infiltrarse en redes informáticas corporativas, descargar información de tarjetas de débito y crédito de clientes, y fraudulentamente usar y vender dicha información.

Entre 2003 y 2007, los acusados hackearon las redes inalámbricas de grandes tiendas departamentales, mediante la práctica conocida como “wardriving”. En un vehículo con una laptop encendida, manejaban cerca de centros comerciales y grandes tiendas departamentales de Miami, buscando “hot-spots” de redes inalámbricas vulnerables. Cuando encontraban una, se estacionaban en lotes cercanos o inclusive rentaban cuartos para poder comprometer el perímetro de las redes informáticas de estas empresas. Una vez adentro, ellos buscaban dentro de la red información de tarjetas de crédito y débito, ya sea almacenada o viajando sobre la red en un estado no seguro (sin encripción).

Scott le entregaba la información cosechada a González para su venta y uso fraudulento en Internet. Scott recibió $400,000 dólares en efectivo y tarjetas clonadas pre-cargadas. Los acusados enfrentan una sentencia de 22 años en prisión, seguidos de 3 años de libertad condicional y una multa por $1,000,000 de dólares.

Siendo el abogado de uno de los fabricantes más grandes del mundo de cajeros automáticos, he tenido la oportunidad de analizar casos similares con algunos clientes, y puedo asegurarle que nada de lo que acaba de leer es ciencia ficción o está lejos de suceder en México. Toda empresa que maneje datos personales o información sensible de clientes y consumidores es una víctima potencial de carding, y otro tipo de fraudes de robo de identidad. Su organización no debe tomar esto a la ligera y debe adoptar todas las medidas de seguridad informática pertinentes para evitar ser víctima de estos delincuentes.