Las estafas en cajeros automáticos no son algo nuevo, y desafortunadamente en nuestro país se ha vuelto algo un tanto común. A pesar de ello, los estafadores no se quedan con las mismas técnicas de siempre y tratan de buscar nuevas y menos notorias formas de cometer este delito.
Brian Krebs, un experto en seguridad informatica, fue contratado por una firma de cajeros automáticos en nuestro país para investigar un fraude sin precedente ubicado en la zona turística de Cancún a Tulum, obteniendo información por demás interesante y que puede ayudar a prevenirnos.
Un caballo de Troya
La empresa contratante de Krebs descubrió que uno de sus empleados tenía trato con el grupo delictivo encargado de estas estafas, por lo cual fue despedido, no sin antes entregar un dispositivo adquirido de manos de los criminales para habilitar la operación de estos robos.
El pequeño aparato resultó ser un equipo de comunicación con el nombre "Free2Move", cuyo uso radica en minimizar el tamaño del lector de tarjeta y teclado de un cajero (siendo ya incluidos en este) y poder usarse de forma inalámbrica mediante una señal de bluetooth emitida con el mismo nombre, sin embargo, desde aquí uno puede darse cuenta del daño potencial en las manos equivocadas.
El modo de operación
Este dispositivo además de suplantar, también puede utilizarse en paralelo con los lectores y teclados de un cajero, recolectando la información de toda tarjeta introducida y guardándola en un almacenamiento externo, pudiendo ser recuperada después mediante bluetooth.
Claro que no cualquiera puede acceder a esta información, dado que el dispositivo pide un PIN de acceso, y aún cuando se tenga, los datos recolectados están encriptados con una llave única a la cual sólo tienen acceso los dueños de estos dispositivos.
Pero, ¿cómo es que estos dispositivos terminan en un cajero?. Los individuos que se dedican a esto buscan entrar en contacto con los técnicos de soporte para hacerles una oferta que no pueden rechazar: se les ofrece ganar 100 veces su salario actual sólo por proveer acceso físico directo a un solo cajero.
Una vez que el técnico cae en la tentación (y probablemente sin conocimiento de lo que sucede al acceder), el dispositivo antes descrito es instalado en el cajero, y gracias a su naturaleza, una vez ahí se vuelve casi imposible de detectar debido a su reducido tamaño y la facilidad para mezclarse con los demás componentes.
Los lugares afectados
Los cajeros que Krebs encontró afectados fueron un par en el Marriott CasaMagna Hotel, Plaza Caracol y Barcelo en Cancún; varios en la Quinta Avenida en Playa del Carmen; y otros tantos más en un muelle en Cozumel. En todas las locaciones, siempre estaba presente la señal "Free2Move" emanando de los cajeros comprometidos.
Afortunadamente no se trata de cajeros de un banco en específico, sino de empresas privadas, los cuales en su mayoría entregan efectivo tanto en pesos como en dólares, sin embargo, el nombre que más resuena es el de Instacash, ya que son sus cajeros los que muestran un comportamiento más sospechoso.
Estos cajeros mostraron que, al hacer un retiro en pesos, se entrega el efectivo y un recibo, pero al hacer la misma operación con dólares, no hay recibo alguno, o inclusive la operación se ve cancelada inmediatamente, por lo cual es lógico pensar que estos ataques están dirigidos a los turistas extranjeros y al "cancelar" la operación, los datos ya han sido robados.
Así que al andar por estas zonas, será mejor tomar precauciones y verificar con el celular que estemos lo suficiente lejos de estos cajeros, así como compartir la información para prevenir a todos aquellos que vivan en estas locaciones.
Ver 3 comentarios