Surtidores de gasolineras hackeados por 20 d��lares: la estafa de las tarjetas

Crean una app para evitar las estafas en los surtidores de las gasolineras americanas que han sido manipulados.

Actualizado a 23 de agosto de 2019 18:35 CEST

Vas a poner gasolina en los Estados Unidos. Coges la manguera del surtidor, luego pasas la tarjeta por la ranura que trae, metes el PIN para pagar y te vas. Y mientras un tipo al otro lado de la calle se est�� bajando todos tus datos, incluida la numeraci��n de la tarjeta y el PIN. Es una estafa con ��skimmer��, y no hablamos del aparato que se suele instalar en las piscinas y es lo primero que sale al buscar en Google.

Manipular los surtidores

La operaci��n es relativamente sencilla: el cibercriminal compra un aparato de ��skimming�� que no suele costar m��s de 20 d��lares, va a una gasolinera, abre el surtidor usando una llave maestra universal -compatible con las estaciones de la mayor��a de cadenas de gasolineras-, coloca el ��skimmer�� y lo deja todo como est��. El aparato est�� conectado tanto al teclado num��rico como a la banda magn��tica del surtidor, usando el bluetooth para enviar datos a un terminal receptor.

El criminal no tiene m��s que colocarse cerca con el PC para descargar todos los datos que vaya logrando, que en el caso de que los clientes paguen con tarjeta hablamos de la numeraci��n, del PIN y hasta su c��digo postal. Y la inversi��n, desde luego, resulta provechosa: un hacker que use un dispositivo skimming puede hacerse con hasta 4.000 d��lares al d��a, una cifra que tambi��n depende de la cantidad de gente que use la gasolinera y los surtidores hackeados, y la habilidad del criminal con los datos obtenidos.

Cuatro de los dispositivos Skimmer que se colocan en los surtidoresUCSD Jacobs School of Engineerin

Y es que ahora mismo muchos piratas se est��n aprovechando de que las estaciones gasolineras en los USA est��n adoptando en exclusiva sistemas de pago con tarjetas de cr��dito y d��bito con chip. De hecho, Visa y MasterCard est��n buscando que todas las gasolineras en Estados Unidos utilicen s��lo sistemas de pago con chip para octubre de 2020.

Una app anti-skammer

El problema es que para detectar estos surtidores hackeados hace falta personal policial y una media de 30 minutos para localizarlos. Para ayudar a combatir esto, un equipo de cient��ficos de las universidades de San Diego e Illinois han desarrollado una aplicaci��n para m��viles que permite detectar un dispositivo skimmer en apenas 3 segundos.

Llamada Bluetana, esta utiliza un algoritmo propio para distinguir las se?ales Bluetooth de los aparatos convencionales de la del skimmer instalado en un surtidor. De esta manera, apuntando con el m��vil basta para ver cu��les est��n hackeados y cu��les no. El algoritmo ha sido desarrollado tras analizar esc��neres de dispositivos Bluetooth tomados por inspectores a lo largo de 1.185 estaciones de gasolina de 6 estados USA.

La app Bluetana detectando los SkimmersUCSD Jacobs School of Engineerin

En su primer a?o operativa ya ha descubierto 42 skimmers en 3 estados, todos desmantelados ya, incluidos dos skimmers ��que consiguieron evitar ser detectados durante 6 meses��. Incluso sus creadores est��n sorprendidos del ��ndice de ��xito de la app, que obviamente ser�� de uso privado para inspectores, y que adem��s tiene elementos t��cnicos del mism��simo Servicio Secreto de los Estados Unidos.