Pagar con VISA en una gasolinera puede robar tus datos
La compañía de tarjetas advierte de un grupo de cibercriminales que usa las vulnerabilidades de los viejos surtidores.
as a poner gasolina en los Estados Unidos. Coges la manguera del surtidor, luego pasas la tarjeta por la ranura que trae, metes el PIN para pagar y te vas. Y mientras un tipo al otro lado de la calle se está bajando todos tus datos, incluida la numeración de la tarjeta y el PIN. Es una estafa con ’skimmer’, y no hablamos del aparato que se suele instalar en las piscinas y es lo primero que sale al buscar en Google.
Manipular los surtidores
La operación es relativamente sencilla: el cibercriminal compra un aparato de ‘skimming’ que no suele costar más de 20 dólares, va a una gasolinera, abre el surtidor usando una llave maestra universal -compatible con las estaciones de la mayoría de cadenas de gasolineras-, coloca el ‘skimmer’ y lo deja todo como está. El aparato está conectado tanto al teclado numérico como a la banda magnética del surtidor, usando el bluetooth para enviar datos a un terminal receptor.
El criminal no tiene más que colocarse cerca con el PC para descargar todos los datos que vaya logrando, que en el caso de que los clientes paguen con tarjeta hablamos de la numeración, del PIN y hasta su código postal. Y la inversión, desde luego, resulta provechosa: un hacker que use un dispositivo skimming puede hacerse con hasta 4.000 dólares al día, una cifra que también depende de la cantidad de gente que use la gasolinera y los surtidores hackeados, y la habilidad del criminal con los datos obtenidos.
Y es que ahora mismo muchos piratas se están aprovechando de que las estaciones gasolineras en los USA están adoptando en exclusiva sistemas de pago con tarjetas de crédito y débito con chip. De hecho, Visa y MasterCard están buscando que todas las gasolineras en Estados Unidos utilicen sólo sistemas de pago con chip para octubre de 2020.
Una app anti-skammer
El problema es que para detectar estos surtidores hackeados hace falta personal policial y una media de 30 minutos para localizarlos. Y aunque existen métodos eficacescomo apps para móviles que permite detectar un dispositivo skimmer en apenas 3 segundos -la aplicación Bluetana por ejemplo-, lo ideal sería que todas las gasolineras usaran tarjetas con chip y PIN y sistemas que cifrasen los datos mientras son transferidos al pagar en los surtidores.
La propia VISA lo ha advertido en una alerta de seguridad hecha este mes a las compañías de gasolineras, que deberían “tomar nota de esta actividad y desplegar dispositivos que tengan soporte para chip y PIN donde fuese posible, ya que esto reduciría de forma significativa estos ataques”.
Nueva ola de estafas en gasolineras
Y es que la multinacional financiera ha revelado que sus equipos están investigando una serie de ataques recientes a gasolineras hechos por el mismo grupo hacker de cibercriminales, conocidos como Fin8. Este grupo ha usado el mismo ‘modus operandi’ en todos sus delitos, valiéndose de los lectores de banda magnética de tarjetas y dispositivos skimming para aprovechar la falta de seguridad que el no meter un código PIN proporciona. La estafa no parece funcionar en aquellas gasolineras que tienen lectores más modernos de tarjetas, pero el problema radica en que la mayoría de estaciones sigue usando el método del lector de banda.
Nuevos lectores de tarjetas para 2020
Como hemos señalado más arriba, VISA y Mastercard quieren que sólo hay sistemas de pago con chip para octubre de 2020 en todas las gasolineras de los EEUU. El problema es que muchas de estas estaciones usan tecnología muy antigua, y actualizarlas tendría un coste de 250.000 dólares por gasolinera, unos 22.500 millones $ en total por todo el país. Pero claro, ¿quién pone semejante cantidad para actualizar los sistemas?