Skimming: una forma prominente de fraude con tarjeta de crédito
Los fraudes y ataques cibernéticos de robo de información de tarjetas de crédito han crecido considerablemente durante la última década. Uno de los fraudes más desarrollados hoy en día es el skimming o clonación de tarjetas de crédito. Según un informe realizado por la consultora Nilson Report, este método de fraude representa una pérdida de alrededor de 28 millones de dólares anuales para los consumidores. A continuación, analizaremos sus características e impacto.
¿Qué es el skimming y cómo funciona?
El skimming es uno de los fraudes más comunes de internet. Consiste en la duplicación o clonación de una tarjeta de crédito utilizando un dispositivo físico que se simulaba la terminal de un cajero automático para clonar la tarjeta de crédito del usuario. Sin embargo, actualmente este método ha evolucionado e incluye programas informáticos que se 'instalan' en sitios web para duplicar la información de la tarjeta.
Los dispositivos utilizados para duplicar las tarjetas en cajeros pueden operar durante un día completo, recolectando los datos de todos los usuarios que utilicen la terminal sin dejar rastros. Luego, los estafadores pueden utilizar esta información para realizar compras y gastos en línea o por teléfono en tiendas virtuales como Amazon.
Asimismo, el skimming digital reproduce este funcionamiento en tiendas en línea, sitios de pago y plataformas en las que el usuario ingresa su información bancaria. La forma más común de esta modalidad es mediante el uso de un código malicioso de JavaScript que, si no es detectado por el sitio, puede captar una mayor cantidad de datos que la versión física del skimming.
La clonación de tarjetas forma parte de un conjunto mayor de fraudes que apuntan al robo de información de tarjetas de crédito, como explica la guía de SEON. Esta guía también incluye otras modalidades de fraude, y diferentes métodos de seguridad y prevención que pueden aplicarse para que los negocios puedan evitarlos.
¿Qué consecuencias tiene el skimming?
Si bien los usuarios son directamente afectados por el skimming, este fraude puede ser más perjudicial para los negocios y empresas que lo sufren. Su impacto a corto, mediano y largo plazo va más allá de la simple violación de datos y tiene múltiples efectos nocivos que representan un costo millonario, como le ocurrió a la empresa norteamericana Filters Fast entre 2019 y 2020.
Entre las consecuencias más significativas se encuentran:
- El daño a la reputación de la empresa
- La pérdida de clientes
- Los costos legales (multas y sanciones)
- La interrupción de las operaciones por tiempo indeterminado
- Los costos de reapertura y relaciones públicas
- La pérdida de participación en el mercado
Según los estudios realizados por el Instituto Ponemon, los costos de protección de datos representan un 53% el primer año, un 32% el segundo y un 16% dos años después de la violación de seguridad. Este "arrastre" de los perjuicios económicos significa que los ataques pueden solaparse unos con otros y afectar la capacidad económica de la empresa a largo plazo.
Para los negocios que trabajan con otros negocios (modelo B2B; business to business), la situación es más compleja, ya que se puede poner en riesgo a los clientes y convertirlos en víctimas de próximos ataques. Frente a ello, no solo puede perderse al cliente, sino que también pueden surgir acciones legales directas por daños y perjuicios.
En el caso de los consumidores y usuarios particulares, existen formas de protegerse de ataques de hackers, pero el skimming es un método complejo que no siempre puede evitarse. Aunque en muchas ocasiones los cargos de compras y gastos realizados con tarjetas robadas pueden ser anulados, es necesario suspender las tarjetas, se pierde poder adquisitivo y debe dedicarse tiempo a realizar los trámites correspondientes.
¿Por qué ha crecido tanto el skimming en relación con otras formas de fraude?
En América Latina, los ciberdelincuentes recurren cada vez más al skimming debido a su capacidad de obtener un gran volumen de datos en un periodo relativamente corto de tiempo, y sin riesgo: por ejemplo, si se realiza una compra con una tarjeta de crédito de Visa, dicha compra se reflejará recién al mes siguiente en el resumen de la tarjeta.
El skimming digital es muy efectivo, ya que la mayoría de los sitios web utilizan en mayor o menor medida el lenguaje JavaScript. La inmediatez y eficacia del método son factores que explican su popularidad entre los ciberdelincuentes. Por el contrario, los ataques de phishing (robo de datos bancarios a través de correos electrónicos o sitios web falsos) suelen ser menos eficientes, ya que requieren más tiempo y esfuerzo.
Lo mismo ocurre con el robo de datos perpetrado contra empresas: este tipo de ataque requiere un estudio previo de la empresa, sus sistemas de seguridad y la posibilidad de obtener datos de valor que luego se utilizarán para realizar chantajes por montos millonarios o para venderlos en el mercado negro, pero son muy riesgosos y se requiere cierto nivel de sofisticación por parte de los perpetradores.
Los programas maliciosos (malware) que se descargan en los dispositivos de los usuarios para obtener los datos de sus tarjetas también son menos eficientes para los ciberdelincuentes. Estos deben enviarse a través de correos electrónicos, redes inalámbricas, sitios web ilegítimos o aplicaciones directamente a los dispositivos de los usuarios de manera particular.
Por todas estas razones, las estafas de skimming son tan populares. Reducen el esfuerzo de los perpetradores y pueden dirigirse tanto a países de la propia región como a países de Europa o Norteamérica. El ransomware (secuestro de datos sensibles), por ejemplo, puede generar mayores ganancias para los ciberdelincuentes, pero requiere más tiempo y trabajo, por lo que no es tan popular en América Latina como en países de Europa.
Durante la Cumbre Latinoamericana de Ciberseguridad en noviembre de 2022, en República Dominicana, el director del Grupo Kaspersky de Investigación y Análisis de Seguridad Informática para América Latina, Fabio Assolini, explicó que, durante las últimas dos décadas, los cibercriminales han desarrollado métodos avanzados de skimming que hoy en día resultan muy eficaces. Es por ello que este fraude es tan prominente en América Latina y otras regiones del mundo.
Conclusión
Actualmente, las formas de fraude que tienen como objetivo a las tarjetas de crédito y la información bancaria representan pérdidas millonarias. El fraude de skimming o duplicación de tarjeta de crédito es uno de los más prominentes debido a su eficacia y sofisticación, por lo que supera a otras formas de fraude, como el phishing o el ransomware. Además, sus consecuencias tanto para los negocios como para los usuarios son severas.