tarjeteros terroristas
TRANSCRIPT
La Ley y el Desorden 2.0 Unidad de Víctimas del Cibercrimen
Tarjeteros Terroristas La modalidad más global y sofisticada de Robo de Identidad
Por Joel A. Gómez Treviño
Todos hemos escuchado en las noticias, en reuniones familiares o sociales e inclusive en el
trabajo, que alguien cercano o conocido ha sido víctima de la “clonación de tarjetas” de
crédito o débito. Los más cautos, piden a los meseros traer las terminales remotas a la
mesa para poder hacer uso de la tarjeta sin perderla de vista. Cada día vivimos con miedo
a soltar nuestras tarjetas de crédito o débito, por temor a que sean clonadas.
Tan grave fue el problema en nuestro país, que algunas instituciones financieras
presionaron a los legisladores del Distrito Federal para que tipificaran “la clonación de
tarjetas” (y otras conductas similares) como delito grave en el Código Penal para el D.F.
(Art. 336 fr. VI). El Estado de México, Puebla y Quintana Roo se sumaron a esta
modificación legislativa. Por su parte, el pasado 26 de marzo de 2008, la Cámara de
Diputados aprobó reformas a la Ley de Instituciones de Crédito, la Ley General de Títulos
y Operaciones de Crédito, el Código Federal de Procedimientos Penales y al Código Penal
Federal con el objeto de tipificar y castigar la clonación de tarjetas de crédito o débito.
De acuerdo a la Asociación de Banqueros de México, el 80% de las pérdidas anuales que
sufre el sector bancario (80 millones de dólares) se deben al fraude de tarjetas. Sin
embargo, hoy en día podría podríamos afirmar que esta modalidad de “clonación” es la
más primitiva y la de menor impacto, si consideramos otros modus operandi de bandas
criminales que operan a nivel internacional.
Desde el 2004 a la fecha, las autoridades e instituciones han estado cada vez más
expuestas y más preocupadas por un fenómeno criminal mundial en el que intervienen
desde jóvenes hackers inexpertos hasta terroristas y extremistas del medio oriente: el
Tarjeteo. ¿Verdad que suena ridículo el término? Con su permiso, y a riesgo de ser
acusado de malinchista, prefiero referirme de ahora en adelante a este término como
“Carding” o “Carders”, para ubicar a los protagonistas de esta actividad criminal.
Con el avance de la tecnología, el compromiso (robo) de información a gran escala
es casi un juego de niños. Se trata de una exposición, revelación o pérdida de información
personal sensible, no autorizada o sin intención, que sufre una organización o empresa.
Los ciber criminales acceden remotamente a sistemas informáticos de gobierno,
universidades, comerciantes, instituciones financieras, empresas de tarjetas de crédito y
procesadores de información, para robar grandes volúmenes de información personal de
individuos.
Bandas criminales organizadas en todo el mundo usan foros de discusión (carding
forums) para dedicarse a la venta de información personal y financiera robada. Estos
foros regularmente ofrecen los mismos “servicios” a sus “clientes”: (1) Tutoriales sobre
diferentes tipos de actividades relacionadas al “tarjeteo” (carding); (2) mensajes públicos
y privados que permiten a los miembros comprar y vender bloques de información robada;
(3) ligas para descargar herramientas de hackeo y código malicioso para realizar
intrusiones informáticas; (4) código fuente para hacer sitios web para phishing; etc. Estos
sitios web constituyen el mercado negro para la venta de información personal robada.
Desde 2005, ha surgido un gran número de compromisos de información de alto perfil
involucrando el robo de grandes volúmenes de información personal. Esta explosión
empezó con el compromiso de 163,000 registros financieros de consumidores
almacenados en sistemas informáticos de la empresa Choicepoint, Inc.
Tres de los más grandes compromisos de información altamente publicitados en los años
recientes son: DSW, Inc. (1.4 millones de números de tarjetas de crédito robadas),
CardSystems Solutions, Inc. (239,000 registros de tarjetas de crédito robados) y TJX
Companies, Inc. (94 millones de cuentas afectadas). En todos los casos, las autoridades
encontraron que las empresas fallaron en tomar medidas razonables de seguridad para
proteger su información sensible; concretamente la información personal contenida en las
cintas magnéticas de las tarjetas de crédito y débito de sus clientes, que fue almacenada
en las computadoras de las organizaciones.
Si se preguntan cómo es que salen a la luz pública esta clase de intrusiones informáticas,
cuando lo lógico es que toda empresa víctima de esta clase de delitos lo primero que
desearía es que esto nunca sucediera, la respuesta es simple: muchos estados de la unión
americana tienen leyes que obligan a las empresas que manejen información a que
notifiquen a sus clientes cualquier evento de compromiso de información que involucre la
adquisición no autorizada de información personal.
En Estados Unidos, los daños a los consumidores por esta clase de delitos son menores o
inclusive inexistentes, ya que por ley, la responsabilidad de los consumidores por uso no
autorizado de tarjetas de crédito y débito está limitada a $50 dólares. Sin embargo, los
consumidores pueden verse afectados por otra clase de molestias, como la invasión a su
privacidad y el daño a su reputación crediticia.
Por su lado, el daño a las instituciones financieras y las empresas de donde es robada la
información de las cuentas de los usuarios si es significativo. Una entidad que sufre estas
intrusiones, tiene que hacer frente a (1) los costos asociados con la impresión de nuevas
tarjetas, (2) los costos asociados con el monitoreo de cuentas sospechosas de fraude, y
(3) las pérdidas derivadas del fraude. Además, probablemente sean víctimas de
demandas, impacto negativo en la bolsa, negocios perdidos, clientes perdidos, multas, etc.
Si a estas alturas del artículo a usted le surge la duda: “pero… ¿esto que tiene que ver
conmigo o mi empresa? ¡Que se preocupen los bancos!”, pues lamento informarle que no
solo los bancos o instituciones financieras son víctimas de este tipo de fraudes, sino
virtualmente cualquier empresa, comerciante o entidad que maneje y almacene
información personal o financiera de sus clientes considerada como sensible (tarjetas de
crédito, nombres, direcciones, datos de identificaciones, etc.) En los Estados Unidos,
supermercados, cadenas de zapaterías, tiendas de electrónicos y sobre todo empresas que
realizan actividades de comercio electrónico están siendo demandadas por esta clase de
intrusiones informáticas que terminan en compromisos de información a gran escala.
A diferencia de otros tipos de robo de identidad, el carding involucra el robo a gran escala
de números y cuentas de tarjetas de crédito y otra clase de información financiera. Otros
métodos a menor escala para el robo de identidad son: hurgando en la basura (dumpster
diving), skimming (clonación de tarjetas en cajeros automáticos), phishing (ingeniería
social aplicada para obtener datos personales) y otros viejos métodos de robo.
La conducta conocida como “carding” no solo incluye la manera o métodos que los
criminales usan para obtener y vender la información personal robada, sino desde luego,
lo más importante, también se refiere a cómo obtener un lucro o dividendos de este
particular robo de identidad.
A saber, existen cuatro tipos de “tarjeteo”: online carding, in-store carding, cashing y
venta de tarjetas de regalo. El online carding se refiere al uso de información robada de
tarjetas de crédito para la compra de productos y servicios a través de Internet. Como el
término lo sugiere, in-store carding implica que el criminal presente ante un cajero de una
tienda física una tarjeta “clonada” en la que ha sido previamente codificada la información
robada de tarjetas de crédito.
Por cashing debemos entender lo que en México la industria bancaria y de cajeros
automáticos conocemos como “ordeñamiento de tarjetas”. Un individuo visita cajeros
automáticos, usualmente a horas de poco tránsito de clientes, con decenas o cientos de
tarjetas clonadas que traen codificada la información robada y los NIPs anotados sobre
cada plástico. El último tipo de carding consiste en comprar tarjetas de regalo, comunes
en todas las grandes tiendas y almacenes de prestigio, usando tarjetas clonadas, para
después revenderlas en el mercado negro por un porcentaje de su valor real.
Las autoridades en Estados Unidos no se han quedado cruzadas de brazos y desde hace
años han emprendido una batalla campal en contra de los “Carding Forums”; muchos de
ellos han sido desarticulados y sus administradores están siendo enjuiciados por diversos
delitos. Individuos en Estados Unidos, Rusia, Reino Unido e Indonesia han sido arrestados
por estos crímenes. En las investigaciones conducentes, las autoridades han encontrado
que muchos de estos delincuentes son terroristas y narcotraficantes, que usan el carding
como medio para fondear y sostener sus otras actividades ilícitas.
El 22 de septiembre de 2008, la oficina del Procurador de Massachusetts publicó en un
boletín de prensa que varios hombres de Miami, Florida (Christopher Scott y Albert
González, entre otros) fueron sentenciados en una corte federal por conspirar
electrónicamente para infiltrarse en redes informáticas corporativas, descargar información
de tarjetas de débito y crédito de clientes, y fraudulentamente usar y vender dicha
información.
Entre 2003 y 2007, los acusados hackearon las redes inalámbricas de grandes tiendas
departamentales, mediante la práctica conocida como “wardriving”. En un vehículo con
una laptop encendida, manejaban cerca de centros comerciales y grandes tiendas
departamentales de Miami, buscando “hot-spots” de redes inalámbricas vulnerables.
Cuando encontraban una, se estacionaban en lotes cercanos o inclusive rentaban cuartos
para poder comprometer el perímetro de las redes informáticas de estas empresas. Una
vez adentro, ellos buscaban dentro de la red información de tarjetas de crédito y débito,
ya sea almacenada o viajando sobre la red en un estado no seguro (sin encripción).
Scott le entregaba la información cosechada a González para su venta y uso fraudulento
en Internet. Scott recibió $400,000 dólares en efectivo y tarjetas clonadas pre-cargadas.
Los acusados enfrentan una sentencia de 22 años en prisión, seguidos de 3 años de
libertad condicional y una multa por $1,000,000 de dólares.
Siendo el abogado de uno de los fabricantes más grandes del mundo de cajeros
automáticos, he tenido la oportunidad de analizar casos similares con algunos clientes, y
puedo asegurarle que nada de lo que acaba de leer es ciencia ficción o está lejos de
suceder en México. Toda empresa que maneje datos personales o información sensible de
clientes y consumidores es una víctima potencial de carding, y otro tipo de fraudes de
robo de identidad. Su organización no debe tomar esto a la ligera y debe adoptar todas las
medidas de seguridad informática pertinentes para evitar ser víctima de estos
delincuentes.
Joel Gómez ([email protected]) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho
Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad
Intelectual desde 1996.