16/05/02
EL FRAUDE CON TARJETAS DE CRÉDITO HACE SU AGOSTO EN INTERNET
Mercè Molist
Clanes especializados han creado bazares en Internet donde se compran y venden cientos de miles de números de tarjetas de crédito, robadas en bases de datos mal protegidas. Se utilizan mayoritariamente para adquirir equipos informáticos u otros productos en tiendas virtuales, completando el círculo fraudulento sin salir de la pantalla. Según el Federal Bureau of Investigation, así se mueven más de 1 billón de dólares al año sólo en Estados Unidos, y los cabecillas son mafias de la antigua Unión Soviética.Los precios de los números de tarjeta son bajos, fluctúan en el mercado negro según la información adicional que lleven incorporada, como el nombre del titular o la fecha de caducidad. Según “The New York Times”, una sola tarjeta puede valer entre 40 céntimos y 5 dólares y usualmente se venden por paquetes: 250 a cien dólares o 5.000 a mil. Los vendedores se esconden bajo personalidades virtuales falsas y operan en canales de chat o páginas web que cambian de sitio rápidamente. Destaca en este negocio, según el periódico, el gran número de personas de Europa del Este y Asia, especialmente Malasia.
“Cuanta más necesidad económica, más pasan estas cosas”, aclara Claudio Hernández, experto en tecnologías de cifrado, quien asegura que algunos no se toman la molestia ni de robar los números de tarjeta y fechas de caducidad, ya que existen programas que los generan automáticamente. Aún así, el tráfico se nutre especialmente de robos en bases de datos electrónicas: “Sabotean servidores de Internet para robar los números de las tarjetas y venderlos. Otras mafias más grandes generan versiones clonadas de estos números. Todos se utilizan exclusivamente para comprar en línea”, explica.
El teniente Juan Rodríguez Sotomayor, del grupo de delitos informáticos de la Guardia Civil, afirma haber visto anuncios donde se venden discos compactos con seis millones de números, todos válidos: “Hay gente que vive a base de esto, como uno de Algeciras que hemos cogido mil veces. Pasa aquí igual que en Rusia, aunque el fraude en compras ha bajado porque las empresas desconfían más que antes”. Según un estudio de Celent Communications, el ratio de fraude en Internet para Visa y Mastercard es del 0,25 por ciento, mientras que en el mundo ‘offline’ no pasa del 0,09. Según Rosa Ovejero, de Visa, “este tipo de fraudes son escasos en España, inexistentes”.
El coste para las tiendas virtuales es más alto, ya que asumen la mayor parte de las pérdidas, que representan entre un cinco y un ocho por ciento de las ventas. Sotomayor recuerda en España el caso de Weblisten, en 1998, una tienda de música en línea que fue de las primeras en probar el fraude: “Está también el ‘timo del Nazareno’: te compran cuatro cosas, para crear una relación de confianza, y el quinto pedido es exorbitante y lo pagan con una tarjeta robada. O los nigerianos, muy buenos, unos expertos clonando tarjetas”. El teniente lo achaca a la nula seguridad de las bases de datos que guardan los números: “Especialmente las webs pornográficas, de las que tenemos cantidad de denuncias tanto de robo de tarjetas como de uso fraudulento de ellas”.
El tráfico de datos bancarios en las redes es un clásico. Incluso antes de Internet, los ladrones creaban sus bazares usando el teléfono o los Bulletin Boards Systems (BBS), ordenadores a los que se conectaban los usuarios directamente, por módem. Pero el fraude se ha incrementado con Internet, al haber cada vez más sitios donde comprar en línea y más bases de datos inseguras donde robar la información. A pesar de ser pocas las empresas que reconocen estos asaltos a sus archivos de clientes, hay ejemplos para no acabar.
En enero del 2000, un extorsionista publicaba en una web números robados en la tienda de música CD Universe. En septiembre del mismo año, un intruso se llevaba 15.000 números de tarjeta del servidor web de la Western Union. El año pasado, alguien entró en Playboy.com y robó su base de datos de abonados, a los que envió un mensaje informándoles que tenía sus datos bancarios. La última edición de la prestigiosa feria informática Comdex vivía un episodio parecido: alguien se llevó la lista completa de sus miles de asistentes, con información financiera incluida.
Los consejos para no perder la tarjeta en Internet son: tener una cuenta específica sólo para eso, comprar en sitios familiares y asegurarse de que la tienda usa cifrado para transportar los datos. Aún así, el peligro acecha: en el foro de seguridad informática “Bugtraq” diversos expertos avisaban recientemente de que sitios tan conocidos como Yahoo!, Ebay, Microsoft, Cybercash o Verisign eran vulnerables a un tipo de intrusión que permite robar datos usando un simple navegador. No hay que ir tan lejos: un ‘hacker’ español aseguraba recientemente haber descubierto fallos parecidos en la tienda virtual de El Corte Inglés.
LOS BANCOS NO ESTÁN MEJOR
Aunque la mayor parte de asaltos a bancos nunca salen a la luz pública, su número ha aumentado desde que han abierto sus ventanillas en Internet. Por ellas se cuelan los intrusos sin necesidad de números secretos, aprovechando fallos de programas. Según el experto norteamericano en seguridad financiera, James Molini, “en el periodo entre 1998 y 2000 nuestras estimaciones eran de que un 50 % de servicios bancarios en línea tenían vulnerabilidades. Los números no han variado desde entonces”. Según un estudio del FBI, las pérdidas financieras en la Internet estadounidense podrían haber sido el año pasado de más del doble de los 455 millones de dólares denunciados.
El más famoso asalto a un banco usando las redes informáticas ocurrió en 1994: un joven ruso se llevaba diez millones de dólares del Citibank, usando contraseñas y códigos robados a clientes. En diciembre del año pasado, otra vez el Citibank y también el Bank of America caían ante el norteamericano Adrian Lamo. Hace unos meses, un ‘hacker’ alemán conseguía acceso a datos de decenas de clientes del Banco de Berlín. Credit Suisse, Barclays, First o Wells Fargo han vivido también embarazosos incidentes, junto a otros bancos basados sólo en Internet, como NetBank o Egg. La situación en España es parecida, según Javier Rodríguez, experto en seguridad, quien asegura haber visto “errores garrafales en servicios de ‘home-banking’ de pequeñas y grandes entidades, como usuarios sin contraseña y otros, que te permiten ver cuentas y movimientos”.