BeTech: noticias de tecnología

HACKEO

Surtidores de gasolineras hackeados por 20 dólares: la estafa de las tarjetas

Crean una app para evitar las estafas en los surtidores de las gasolineras americanas que han sido manipulados.

Surtidores de gasolineras hackeados por 20 dólares: la estafa de las tarjetas

Vas a poner gasolina en los Estados Unidos. Coges la manguera del surtidor, luego pasas la tarjeta por la ranura que trae, metes el PIN para pagar y te vas. Y mientras un tipo al otro lado de la calle se está bajando todos tus datos, incluida la numeración de la tarjeta y el PIN. Es una estafa con ’skimmer’, y no hablamos del aparato que se suele instalar en las piscinas y es lo primero que sale al buscar en Google.

Manipular los surtidores

La operación es relativamente sencilla: el cibercriminal compra un aparato de ‘skimming’ que no suele costar más de 20 dólares, va a una gasolinera, abre el surtidor usando una llave maestra universal -compatible con las estaciones de la mayoría de cadenas de gasolineras-, coloca el ‘skimmer’ y lo deja todo como está. El aparato está conectado tanto al teclado numérico como a la banda magnética del surtidor, usando el bluetooth para enviar datos a un terminal receptor.

El criminal no tiene más que colocarse cerca con el PC para descargar todos los datos que vaya logrando, que en el caso de que los clientes paguen con tarjeta hablamos de la numeración, del PIN y hasta su código postal. Y la inversión, desde luego, resulta provechosa: un hacker que use un dispositivo skimming puede hacerse con hasta 4.000 dólares al día, una cifra que también depende de la cantidad de gente que use la gasolinera y los surtidores hackeados, y la habilidad del criminal con los datos obtenidos.

Cuatro de los dispositivos Skimmer que se colocan en los surtidores

Y es que ahora mismo muchos piratas se están aprovechando de que las estaciones gasolineras en los USA están adoptando en exclusiva sistemas de pago con tarjetas de crédito y débito con chip. De hecho, Visa y MasterCard están buscando que todas las gasolineras en Estados Unidos utilicen sólo sistemas de pago con chip para octubre de 2020.

Una app anti-skammer

El problema es que para detectar estos surtidores hackeados hace falta personal policial y una media de 30 minutos para localizarlos. Para ayudar a combatir esto, un equipo de científicos de las universidades de San Diego e Illinois han desarrollado una aplicación para móviles que permite detectar un dispositivo skimmer en apenas 3 segundos.

Llamada Bluetana, esta utiliza un algoritmo propio para distinguir las señales Bluetooth de los aparatos convencionales de la del skimmer instalado en un surtidor. De esta manera, apuntando con el móvil basta para ver cuáles están hackeados y cuáles no. El algoritmo ha sido desarrollado tras analizar escáneres de dispositivos Bluetooth tomados por inspectores a lo largo de 1.185 estaciones de gasolina de 6 estados USA.

La app Bluetana detectando los Skimmers

En su primer año operativa ya ha descubierto 42 skimmers en 3 estados, todos desmantelados ya, incluidos dos skimmers “que consiguieron evitar ser detectados durante 6 meses”. Incluso sus creadores están sorprendidos del índice de éxito de la app, que obviamente será de uso privado para inspectores, y que además tiene elementos técnicos del mismísimo Servicio Secreto de los Estados Unidos.