banner

Noticias

Sep 16, 2023

Los ladrones cibernéticos apuntan a nuevas víctimas con tarjetas más sofisticadas

Por Ash-har Quraishi, Amy Corral, Ryan Beard

25 de abril de 2023 / 7:31 a. m. / CBS News

Michael Pérez nunca planeó convertirse en un ciberdelincuente.

En la década de 1980, cuando las computadoras personales comenzaban a aparecer en los hogares de todo el país, Pérez era un niño al que jugar con la tecnología le resultaba mucho más entretenido que los juguetes. Cuando tenía 12 años, estaba construyendo sus propias computadoras.

"Mi tío traía las piezas, las compraba y [yo] comenzaba a construirlo", dijo el nativo de Miami. "Siempre me han gustado las computadoras. Me ha fascinado la programación, pero nunca tuve el tiempo para dedicarme a educarme o aprender".

Pero al crecer en un vecindario pobre, mayoritariamente hispano, Pérez dice que encontró pocas oportunidades financieras fuera del trabajo ocasional de reparación de teléfonos celulares o electrónicos.

"Microsoldaba cosas y arreglaba los componentes en las placas. Y llegué a un punto en el que comencé a hacer estas cosas, pero no estaba siendo rentable en ese momento", dijo Pérez.

Fue entonces cuando dijo que un amigo del vecindario le presentó la idea de construir lectores de tarjetas e instalarlos en las gasolineras de todo el país para ganar dinero.

"Lo armé y como en dos días tuve un skimmer en funcionamiento".

Las fuerzas del orden en el sur de la Florida llaman a estos criminales "mecánicos".

Pérez dice que usó Google Streetview para encontrar las bombas de gasolina más fáciles de identificar.

"Haré zoom para ver dónde, cómo se ve la cara, cómo se ve la puerta, cuál es el modelo de la bomba de gasolina", dijo. "Abría el acceso a la bomba de la gasolinera con una llave universal, la abría. Y dentro sacaba un lector y luego ponía mi lector modificado".

Pérez dijo que cada uno de sus dispositivos de skimming podría recolectar entre 750 y 1,000 números de tarjetas para almacenar. Luego se acercaría a la bomba y extraería la información a través de Bluetooth. En tres días de desnatado, podría robar hasta $30,000.

Según el FBI, el desnatado cuesta a las instituciones financieras ya los consumidores estadounidenses más de mil millones de dólares cada año.

La empresa de análisis de datos FICO monitorea más de 2 mil millones de transacciones financieras al mes, en busca de comportamientos de gasto inusuales, cosas que están fuera de lo común, como el desnatado. Según los datos recopilados, la cantidad de tarjetas comprometidas aumentó un 368 % el año pasado en comparación con el año anterior.

"Creo que estamos viendo un estallido de actividad de desnatado a raíz de la pandemia", dijo TJ Horan, vicepresidente de gestión de productos de FICO. "Durante la pandemia hubo muchas menos transacciones en los puntos de venta. Muchos de nosotros nos quedábamos en casa y no hacíamos las cosas normales que hacemos. Entonces, de repente vimos un gran aumento. La otra cosa es que los estafadores siempre buscan eslabones débiles y oportunidades".

Y eso ha sido un reto. Incluso con los nuevos avances en seguridad y tecnología, los expertos dicen que los estafadores han hecho un buen trabajo manteniéndose un paso por delante de las fuerzas del orden público y los bancos.

“Están en constante evolución. Las fuerzas del orden intentan constantemente encontrar formas de mantenerse al día”, dijo Charles Leopard, agente especial asistente en la oficina de campo del Servicio Secreto de EE. UU. en Miami, sede del laboratorio forense cibernético más grande de la agencia en el país.

Dentro del enorme laboratorio, los técnicos trabajan en investigaciones que afectan la infraestructura económica de los Estados Unidos, desde moneda falsa hasta estafas de phishing por correo electrónico y cualquier tipo de fraude hipotecario o de préstamo. Además de eso, también investigan fraudes de dispositivos de acceso, como fraudes con tarjetas de crédito y skimming.

"Este laboratorio en particular es muy beneficioso para los municipios y las agencias estatales y locales de aquí, ya que este laboratorio acepta toneladas de delitos violentos, homicidios y cualquier otro tipo de dispositivo electrónico que deba ser examinado, que sea incautado o parte de un federal". , estatal o local", dijo Leopard.

Cada año, los 50 técnicos forenses informáticos a tiempo completo y los 75 a tiempo parcial realizan alrededor de 5000 exámenes, procesando más de un petabyte de volumen de datos. Pero incluso con esos recursos y poder de cómputo, Leopard dice que los estafadores usan constantemente nuevas formas de frustrar las medidas de seguridad más recientes.

Leopard dice que en los 25 años que ha existido el descremado, los dispositivos han avanzado desde los lectores de tarjetas portátiles utilizados a fines de la década de 1990 por los camareros de los restaurantes hasta superposiciones de cajeros automáticos y paneles de punto de servicio que se deslizan justo encima de los lectores de tarjetas. En los últimos años, comenzaron a encontrar pequeñas cámaras ocultas en los lectores de tarjetas.

"Hay un pequeño orificio en esta pieza de plástico que normalmente se colocaría así en el cajero automático y capturaría el teclado. Entonces, usarían uno de estos skimmers superpuestos y luego insertarían una cámara para obtener el pin ."

"Simplemente ha evolucionado en la forma en que los delincuentes capturan la información", dijo.

Incluso se han movido a lo que él llama skimmers de inserción profunda, dispositivos tan delgados que pueden deslizarse directamente en el lector sin ser detectados, lo que hace que sea un desafío eliminar incluso para un técnico profesional y más difícil de mantener para las fuerzas del orden.

"La aplicación de la ley y sus socios detendrán algunas de las vulnerabilidades que vemos en los cajeros automáticos o terminales de punto de venta y comerciantes", dijo Leopard. "Y luego, un par de meses, todo estaría tranquilo. Y luego los delincuentes cibernéticos encontrarán una forma de evitarlo. Y luego habrá un nuevo pico hasta que lo detengamos. Entonces, es constantemente el juego del gato y el ratón para encontrar maneras de prevenirlo".

Desde mediados de 2022, los ladrones descremados han estado apuntando a un grupo especialmente vulnerable: los que padecen inseguridad alimentaria.

En los últimos meses, a miles de estadounidenses que dependen de la Asistencia Nutricional Suplementaria Federal, o SNAP, les han robado los fondos de sus cuentas.

"Recibes una cantidad fija de dinero cada mes del gobierno para ayudarte a pagar tus compras", dijo Sung Hee Lee, una estudiante universitaria de Boston que dice que trabaja 30 horas a la semana, asiste a la escuela a tiempo completo y lucha para llegar a fin de mes. .

Cada mes, ella va a la tienda de comestibles para abastecerse de alimentos, pero en un viaje reciente, solo un día después de que se recargó su tarjeta de beneficios electrónicos (EBT), descubrió que el saldo de su cuenta había desaparecido casi por completo. Solo quedaban 40 centavos.

"Lo aprendí del servicio al cliente por teléfono cuando estaba en la tienda de comestibles tratando de manejar todo esto. Todo mi dinero se usó unos días antes, justo después de que mi dinero llegó", dijo Lee.

Lee descubrió que alguien había usado su número de tarjeta para hacer compras a casi mil millas de distancia en una tienda Sam's Club en Illinois.

Lee nunca ha comprado en un Sam's Club.

"No puedo pagar una membresía de Sam's Club", dijo.

"La tarjeta siempre ha estado en mi poder y nunca he dado mi información", dijo. "Entonces, la única forma en que esto podría haber sucedido es que alguien lo robara directamente, ya sea mientras lo usaba en algún tipo de tienda de conveniencia al azar, y mi información podría haber sido vendida y robada".

El Departamento de Agricultura de los EE. UU., que supervisa el programa federal SNAP, le dijo a CBS News por correo electrónico que antes de este año, no había ningún requisito federal para que los estados rastrearan los informes de robo de beneficios a través del robo de tarjetas, la clonación de tarjetas u otros medios fraudulentos similares.

Nos comunicamos con las 50 agencias estatales que administran los programas SNAP y solo unas pocas pudieron decirnos cuánto dinero se ha robado, pero está claro que son millones.

En Massachusetts, entre junio de 2022 y marzo de 2023, se robaron $2.9 millones, impactando a más de 6,700 hogares. En Nueva York, entre enero de 2022 y marzo de 2023, se sustrajeron $7 millones, con más de 10.000 denuncias de skimming. Y en California, se robaron $7 millones entre julio de 2021 y noviembre de 2022.

Las tarjetas EBT son diferentes a su tarjeta de débito o crédito promedio. Carecen de la seguridad mejorada de un chip EMV integrado, que la mayoría de los bancos incorporaron en 2015. En cambio, confían únicamente en la tecnología de la década de 1970: una banda magnética.

"No tiene ningún sentido que el programa SNAP, que gasta $157 mil millones al año, esté usando una llave de habitación de hotel glorificada para brindar beneficios a quienes padecen inseguridad alimentaria", dijo Haywood Talcove, director ejecutivo de LexisNexis Risk Solutions Government Business.

La empresa de Talcove recopila datos para las agencias gubernamentales a fin de ayudar a prevenir el fraude, el despilfarro y el abuso en los programas públicos.

Un estudio reciente de LexisNexis encontró que cada $1 de beneficios perdidos por fraude finalmente le cuesta a las agencias de SNAP $3.72 en costos adicionales relacionados con tareas de detección, investigación, informes y administración. Estos costos finalmente se transfieren a los contribuyentes, quienes financian el programa SNAP.

El estudio también encontró que los ataques a SNAP se debieron principalmente al fraude de identidad, elegibilidad, apropiación de cuentas y tráfico. En última instancia, es una pérdida que se transmite a todos los contribuyentes.

“Lo que tienes es un sistema anticuado. Tienes tecnologías anticuadas, tienes el USDA con muy [pocas] herramientas de aplicación, y los grupos criminales aprendieron mucho de lo que sucedió durante la pandemia de COVID y cómo robar los beneficios del gobierno”, dijo Talcove.

Talcove dice que las empresas criminales han estado vendiendo información de tarjetas robadas en la web oscura al mejor postor, en algunos casos, dice, peligrosos sindicatos del crimen internacional.

"La falta de controles que tiene el USDA hace que sea tan fácil para estos grupos organizados, particularmente en países nacionales y transnacionales como Rumania, Nigeria, Rusia y China, colocar dispositivos de phishing y skimming y robar los valiosos beneficios de las personas que utilizan para alimentar a sus familias”, dijo.

"Lo que el USDA necesita hacer hoy es sacar esas llaves de habitaciones de hotel glorificadas, poner en marcha esas tarjetas habilitadas para chip. Tienen que comenzar a hacer la verificación de identidad de front-end".

Los datos muestran que la tecnología de chips hace que las tarjetas de pago sean más seguras que las bandas magnéticas utilizadas en las tarjetas SNAP.

Según VISA, las tiendas que comenzaron a aceptar tarjetas con chip en 2015 experimentaron una caída del 76 % en el fraude durante los próximos tres años.

"Debido a que el deslizamiento magnético no está codificado, no está encriptado, está completamente abierto. Entonces, puede usar cualquier lector para obtener esa información", dijo Leonard.

En octubre pasado, con el aumento de las quejas de los electores en su estado natal de Nueva York, la senadora estadounidense Kirsten Gillibrand y una docena de otros legisladores de Nueva York escribieron al secretario de Agricultura, Tom Vilsack. Lo instaron a que permitiera que los estados reembolsaran a las víctimas de robo y buscaran mejores tecnologías de seguridad para las tarjetas EBT.

"Asegurarme de solucionar este problema era una alta prioridad para mí", dijo Gillibrand. "Para muchas familias sin esa asistencia nutricional suplementaria, no tienen suficiente para alimentar a sus familias, para alimentar a sus hijos, para tener suficiente comida a fin de mes".

Incluido en la aprobación del proyecto de ley ómnibus por parte del Congreso estaba un marco de la Ley de protección contra robos de SNAP de la senadora Gillibrand, que dirige fondos federales a los estados para reembolsar a los beneficiarios de SNAP que han sido estafados. También, por primera vez, pide a los estados que rastreen los datos de fraude de SNAP e investiguen cómo reforzar la seguridad de las tarjetas EBT.

Pero la legislación no llegó a exigir que el USDA cambiara a tecnologías más seguras como los chips.

En el transcurso de dos meses, CBS News envió múltiples solicitudes de entrevistas al USDA para discutir el problema del fraude y el robo de SNAP, pero no proporcionaron un representante.

Sung Hee Lee dice que también tuvo problemas para ponerse en contacto con el USDA.

"Incluso si presiona todas las diferentes opciones del menú, nadie lo llevará a un representante. E incluso si intenta escribir un correo electrónico, nunca escucho respuesta", dijo. Eventualmente renunció a que le reembolsaran los beneficios de SNAP que le habían robado.

La agencia ha anunciado que está lanzando un programa piloto para probar los pagos móviles y sin contacto más seguros para los beneficiarios de SNAP en cinco estados: Illinois, Missouri, Louisiana, Oklahoma y Massachusetts.

"Creo que tocar para pagar, así como pagar a través de su teléfono, es una forma muy segura de hacerlo", dijo Leonard. "Algunos ya han encontrado formas de comprometer los pagos sin contacto. Pero no en la medida en que lo estamos viendo con los skimmers".

Ese programa piloto no comenzará hasta el próximo año, como muy pronto.

En cuanto a Michael Pérez, sus días de desnatado finalmente lo alcanzaron.

“Me arrestaron el 27 de noviembre de 2017 y me llevaron a la cárcel del condado. Fue una operación conjunta con el Servicio Secreto y Miami-Dade”, dijo.

Pérez pasó más de dos años en una prisión federal. Pero la culpa de su crimen, dice, se apoderó de él durante un huracán en Texas.

"Recuerdo ir al hotel y todos estaban fuera de sus casas, registrándose en hoteles porque no tenían casas", dijo. "Todo fue destruido. Y yo estaba allí haciéndoles ese daño. Y recuerdo a la persona frente a mí, su tarjeta fue rechazada y no tenía forma de quedarse en el hotel en ese momento. Fue entonces cuando golpeó mí. Me rompió el corazón allí mismo".

Pérez ha cambiado su apodo de "mecánico" por el de consultor contra robos. Ahora está trabajando con la firma de seguridad Unchained Leadership & Consulting para ayudar a las fuerzas del orden público a mantenerse un paso por delante de los estafadores.

"He creado software para ellos, y he creado dispositivos y he ideado tecnología para ayudar a prevenir o atrapar el fraude", dijo. "Quiero seguir haciendo eso. Estoy haciendo lo que amo y se siente bien".

Publicado por primera vez el 25 de abril de 2023 / 7:31 a. m.

© 2023 CBS Interactive Inc. Todos los derechos reservados.

COMPARTIR