Mediante unos lectores de tarjetas que les permitían robar datos de los clientes que las ingresaban en las terminales de pago físicas, los ciberdelincuentes habían encontrado un modo de extraerles los datos, empezando por la clave de acceso, y usarlos para falsificar plásticos o comprar artículos a cuenta del victimizado.
La práctica les daba resultado antes del confinamiento por la pandemia del coronavirus, y los bancos atinaban a aconsejar que se tapara el teclado para no hacer visible la clave digitada y hasta incrustaron en el visor unas viseras plásticas.
El confinamiento generó un auge de las transacciones electrónicas, como el home banking y el comercio electrónico, y la creatividad para el fraude cibernético se desplazó hacia la web, primero con las empresas y luego con las personas, esta vez mediante la introducción de un software embebido en las páginas web que notaban vulnerables.
En 2020, la Argentina registró el mayor crecimiento a nivel global en penetración de comercio electrónico, con un incremento anual de 79% en sus ventas online y una facturación diaria promedio de $89,2 millones, según un informe elaborado por la plataforma Tiendanube.
Y este año, el CyberMonday, organizado por la Cámara Argentina de Comercio Electrónico (CACE), dio la idea de cuánto viene creciendo: cerca de 2.2 millones de personas participaron y más de mil marcas vendieron sus productos. Es decir en esa semana, se facturaron $700 millones diarios a $6.555 por ticket en 208 productos por minuto promedio. La migración del consumo a internet atrajo proporcionalmente a los ciberdelincuentes, que tuvieron que inventar nuevas técnicas de estafas y formas creativas para evitar ser detectados y atrapados.
La clave del skimming
Rodrigo Montenegro, director de BTR Consulting, explica que «por lo general, existen dos formas en que se obtiene acceso al sitio web para colocar el código de skimming, que casi siempre es un script de JavaScript: una, por el servidor en el que reside la página web al ser capturada, a través de alguna vulnerabilidad y/o debilidad de seguridad; la otra, agregando el código malicioso dentro de una porción de código provisto por un tercero alojado en otro servidor distinto al original, por lo general son librerías JS, solicitadas dentro del sitio web de eCommerce o plataformas de pago».
El código de skimming lee todos los caracteres pulsados en el teclado o por medio de la identificación de los campos sensibles en la página, una vez enviada, e identifica la información personal y la recopila, advirtió el experto. En cuanto el código está implementado en el sitio web, la información capturada puede ser enviada desde los navegadores de los usuarios finales a casi cualquier lugar de Internet.
El script de skimming se utiliza para robar información de los que visitan las tiendas de pago, específicamente, detalles de la tarjeta bancaria, nombres, números de teléfono y direcciones. Registra todos los datos introducidos y los almacena en el navegador hasta que la víctima actualiza la página o cambia a otra pestaña. Finalmente, los datos robados se envían a un servidor controlado por los ciberdelincuentes.
¿Qué hacer para defenderse de estos ataques? Montenegro recomendó que «en los casos que sea posible se habiliten notificaciones push vía correo electrónico o SMS cada vez que sea utilizada la tarjeta, lo cual permite anoticiarnos ante posibles usos indebidos». Además, sugirió que para compras electrónicas sean empleadas tarjetas de crédito ya que pueden ser detenidas y revertidas, a diferencia de las de débito.