Pagar con VISA en una gasolinera puede robar tus datos

La compa?��a de tarjetas advierte de un grupo de cibercriminales que usa las vulnerabilidades de los viejos surtidores.

Actualizado a 16 de diciembre de 2019 18:37 CET

as a poner gasolina en los Estados Unidos. Coges la manguera del surtidor, luego pasas la tarjeta por la ranura que trae, metes el PIN para pagar y te vas. Y mientras un tipo al otro lado de la calle se est�� bajando todos tus datos, incluida la numeraci��n de la tarjeta y el PIN. Es una estafa con ��skimmer��, y no hablamos del aparato que se suele instalar en las piscinas y es lo primero que sale al buscar en Google.

Manipular los surtidores

La operaci��n es relativamente sencilla: el cibercriminal compra un aparato de ��skimming�� que no suele costar m��s de 20 d��lares, va a una gasolinera, abre el surtidor usando una llave maestra universal -compatible con las estaciones de la mayor��a de cadenas de gasolineras-, coloca el ��skimmer�� y lo deja todo como est��. El aparato est�� conectado tanto al teclado num��rico como a la banda magn��tica del surtidor, usando el bluetooth para enviar datos a un terminal receptor.

El criminal no tiene m��s que colocarse cerca con el PC para descargar todos los datos que vaya logrando, que en el caso de que los clientes paguen con tarjeta hablamos de la numeraci��n, del PIN y hasta su c��digo postal. Y la inversi��n, desde luego, resulta provechosa: un hacker que use un dispositivo skimming puede hacerse con hasta 4.000 d��lares al d��a, una cifra que tambi��n depende de la cantidad de gente que use la gasolinera y los surtidores hackeados, y la habilidad del criminal con los datos obtenidos.

Este gesto puede costarte caro si el surtidor está hackeado con un dispositivo 'skimmer'

Y es que ahora mismo muchos piratas se est��n aprovechando de que las estaciones gasolineras en los USA est��n adoptando en exclusiva sistemas de pago con tarjetas de cr��dito y d��bito con chip. De hecho, Visa y MasterCard est��n buscando que todas las gasolineras en Estados Unidos utilicen s��lo sistemas de pago con chip para octubre de 2020.

Una app anti-skammer

El problema es que para detectar estos surtidores hackeados hace falta personal policial y una media de 30 minutos para localizarlos. Y aunque existen m��todos eficacescomo apps para m��viles que permite detectar un dispositivo skimmer en apenas 3 segundos -la aplicaci��n Bluetana por ejemplo-, lo ideal ser��a que todas las gasolineras?usaran tarjetas con chip y PIN y sistemas que cifrasen los datos mientras son transferidos al pagar en los surtidores.

La propia VISA lo ha advertido en una alerta de seguridad hecha este mes a las compa?��as de gasolineras, que deber��an ��tomar nota de esta actividad y desplegar dispositivos que tengan soporte para chip y PIN donde fuese posible, ya que esto reducir��a de forma significativa estos ataques��.

Nueva ola de estafas en gasolineras

Y es que la multinacional financiera ha revelado que sus equipos est��n investigando una serie de ataques recientes a gasolineras hechos por el mismo grupo hacker de cibercriminales, conocidos como Fin8. Este grupo ha usado el mismo ��modus operandi�� en todos sus delitos, vali��ndose de los lectores de banda magn��tica de tarjetas y dispositivos skimming para aprovechar la falta de seguridad que el no meter un c��digo PIN proporciona. La estafa no parece funcionar en aquellas gasolineras que tienen lectores m��s modernos de tarjetas, pero el problema radica en que la mayor��a de estaciones sigue usando el m��todo del lector de banda.

Nuevos lectores de tarjetas para 2020

Como hemos se?alado m��s arriba, VISA y Mastercard quieren que s��lo hay sistemas de pago con chip para octubre de 2020 en todas las gasolineras de los EEUU. El problema es que muchas de estas estaciones usan tecnolog��a muy antigua, y actualizarlas tendr��a un coste de 250.000 d��lares por gasolinera, unos 22.500 millones $ en total por todo el pa��s. Pero claro, ?qui��n pone semejante cantidad para actualizar los sistemas?