La Ley y el Desorden 2.0                                                    Unidad de Víctimas del CibercrimenTarjeteros T...
universidades, comerciantes, instituciones financieras, empresas de tarjetas de crédito yprocesadores de información, para...
intrusiones, tiene que hacer frente a (1) los costos asociados con la impresión de nuevastarjetas, (2) los costos asociado...
Las autoridades en Estados Unidos no se han quedado cruzadas de brazos y desde haceaños han emprendido una batalla campal ...
Upcoming SlideShare
Loading in...5
×

Tarjeteros Terroristas

2,774

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,774
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Tarjeteros Terroristas"

  1. 1. La Ley y el Desorden 2.0 Unidad de Víctimas del CibercrimenTarjeteros TerroristasLa modalidad más global y sofisticada de Robo de IdentidadPor Joel A. Gómez TreviñoTodos hemos escuchado en las noticias, en reuniones familiares o sociales e inclusive en eltrabajo, que alguien cercano o conocido ha sido víctima de la “clonación de tarjetas” decrédito o débito. Los más cautos, piden a los meseros traer las terminales remotas a lamesa para poder hacer uso de la tarjeta sin perderla de vista. Cada día vivimos con miedoa soltar nuestras tarjetas de crédito o débito, por temor a que sean clonadas.Tan grave fue el problema en nuestro país, que algunas instituciones financieraspresionaron a los legisladores del Distrito Federal para que tipificaran “la clonación detarjetas” (y otras conductas similares) como delito grave en el Código Penal para el D.F.(Art. 336 fr. VI). El Estado de México, Puebla y Quintana Roo se sumaron a estamodificación legislativa. Por su parte, el pasado 26 de marzo de 2008, la Cámara deDiputados aprobó reformas a la Ley de Instituciones de Crédito, la Ley General de Títulosy Operaciones de Crédito, el Código Federal de Procedimientos Penales y al Código PenalFederal con el objeto de tipificar y castigar la clonación de tarjetas de crédito o débito.De acuerdo a la Asociación de Banqueros de México, el 80% de las pérdidas anuales quesufre el sector bancario (80 millones de dólares) se deben al fraude de tarjetas. Sinembargo, hoy en día podría podríamos afirmar que esta modalidad de “clonación” es lamás primitiva y la de menor impacto, si consideramos otros modus operandi de bandascriminales que operan a nivel internacional.Desde el 2004 a la fecha, las autoridades e instituciones han estado cada vez másexpuestas y más preocupadas por un fenómeno criminal mundial en el que intervienendesde jóvenes hackers inexpertos hasta terroristas y extremistas del medio oriente: elTarjeteo. ¿Verdad que suena ridículo el término? Con su permiso, y a riesgo de seracusado de malinchista, prefiero referirme de ahora en adelante a este término como“Carding” o “Carders”, para ubicar a los protagonistas de esta actividad criminal.Con el avance de la tecnología, el compromiso (robo) de información a gran escalaes casi un juego de niños. Se trata de una exposición, revelación o pérdida de informaciónpersonal sensible, no autorizada o sin intención, que sufre una organización o empresa.Los ciber criminales acceden remotamente a sistemas informáticos de gobierno,
  2. 2. universidades, comerciantes, instituciones financieras, empresas de tarjetas de crédito yprocesadores de información, para robar grandes volúmenes de información personal deindividuos.Bandas criminales organizadas en todo el mundo usan foros de discusión (cardingforums) para dedicarse a la venta de información personal y financiera robada. Estosforos regularmente ofrecen los mismos “servicios” a sus “clientes”: (1) Tutoriales sobrediferentes tipos de actividades relacionadas al “tarjeteo” (carding); (2) mensajes públicosy privados que permiten a los miembros comprar y vender bloques de información robada;(3) ligas para descargar herramientas de hackeo y código malicioso para realizarintrusiones informáticas; (4) código fuente para hacer sitios web para phishing; etc. Estossitios web constituyen el mercado negro para la venta de información personal robada.Desde 2005, ha surgido un gran número de compromisos de información de alto perfilinvolucrando el robo de grandes volúmenes de información personal. Esta explosiónempezó con el compromiso de 163,000 registros financieros de consumidoresalmacenados en sistemas informáticos de la empresa Choicepoint, Inc.Tres de los más grandes compromisos de información altamente publicitados en los añosrecientes son: DSW, Inc. (1.4 millones de números de tarjetas de crédito robadas),CardSystems Solutions, Inc. (239,000 registros de tarjetas de crédito robados) y TJXCompanies, Inc. (94 millones de cuentas afectadas). En todos los casos, las autoridadesencontraron que las empresas fallaron en tomar medidas razonables de seguridad paraproteger su información sensible; concretamente la información personal contenida en lascintas magnéticas de las tarjetas de crédito y débito de sus clientes, que fue almacenadaen las computadoras de las organizaciones.Si se preguntan cómo es que salen a la luz pública esta clase de intrusiones informáticas,cuando lo lógico es que toda empresa víctima de esta clase de delitos lo primero quedesearía es que esto nunca sucediera, la respuesta es simple: muchos estados de la uniónamericana tienen leyes que obligan a las empresas que manejen información a quenotifiquen a sus clientes cualquier evento de compromiso de información que involucre laadquisición no autorizada de información personal.En Estados Unidos, los daños a los consumidores por esta clase de delitos son menores oinclusive inexistentes, ya que por ley, la responsabilidad de los consumidores por uso noautorizado de tarjetas de crédito y débito está limitada a $50 dólares. Sin embargo, losconsumidores pueden verse afectados por otra clase de molestias, como la invasión a suprivacidad y el daño a su reputación crediticia.Por su lado, el daño a las instituciones financieras y las empresas de donde es robada lainformación de las cuentas de los usuarios si es significativo. Una entidad que sufre estas
  3. 3. intrusiones, tiene que hacer frente a (1) los costos asociados con la impresión de nuevastarjetas, (2) los costos asociados con el monitoreo de cuentas sospechosas de fraude, y(3) las pérdidas derivadas del fraude. Además, probablemente sean víctimas dedemandas, impacto negativo en la bolsa, negocios perdidos, clientes perdidos, multas, etc.Si a estas alturas del artículo a usted le surge la duda: “pero… ¿esto que tiene que verconmigo o mi empresa? ¡Que se preocupen los bancos!”, pues lamento informarle que nosolo los bancos o instituciones financieras son víctimas de este tipo de fraudes, sinovirtualmente cualquier empresa, comerciante o entidad que maneje y almaceneinformación personal o financiera de sus clientes considerada como sensible (tarjetas decrédito, nombres, direcciones, datos de identificaciones, etc.) En los Estados Unidos,supermercados, cadenas de zapaterías, tiendas de electrónicos y sobre todo empresas querealizan actividades de comercio electrónico están siendo demandadas por esta clase deintrusiones informáticas que terminan en compromisos de información a gran escala.A diferencia de otros tipos de robo de identidad, el carding involucra el robo a gran escalade números y cuentas de tarjetas de crédito y otra clase de información financiera. Otrosmétodos a menor escala para el robo de identidad son: hurgando en la basura (dumpsterdiving), skimming (clonación de tarjetas en cajeros automáticos), phishing (ingenieríasocial aplicada para obtener datos personales) y otros viejos métodos de robo.La conducta conocida como “carding” no solo incluye la manera o métodos que loscriminales usan para obtener y vender la información personal robada, sino desde luego,lo más importante, también se refiere a cómo obtener un lucro o dividendos de esteparticular robo de identidad.A saber, existen cuatro tipos de “tarjeteo”: online carding, in-store carding, cashing yventa de tarjetas de regalo. El online carding se refiere al uso de información robada detarjetas de crédito para la compra de productos y servicios a través de Internet. Como eltérmino lo sugiere, in-store carding implica que el criminal presente ante un cajero de unatienda física una tarjeta “clonada” en la que ha sido previamente codificada la informaciónrobada de tarjetas de crédito.Por cashing debemos entender lo que en México la industria bancaria y de cajerosautomáticos conocemos como “ordeñamiento de tarjetas”. Un individuo visita cajerosautomáticos, usualmente a horas de poco tránsito de clientes, con decenas o cientos detarjetas clonadas que traen codificada la información robada y los NIPs anotados sobrecada plástico. El último tipo de carding consiste en comprar tarjetas de regalo, comunesen todas las grandes tiendas y almacenes de prestigio, usando tarjetas clonadas, paradespués revenderlas en el mercado negro por un porcentaje de su valor real.
  4. 4. Las autoridades en Estados Unidos no se han quedado cruzadas de brazos y desde haceaños han emprendido una batalla campal en contra de los “Carding Forums”; muchos deellos han sido desarticulados y sus administradores están siendo enjuiciados por diversosdelitos. Individuos en Estados Unidos, Rusia, Reino Unido e Indonesia han sido arrestadospor estos crímenes. En las investigaciones conducentes, las autoridades han encontradoque muchos de estos delincuentes son terroristas y narcotraficantes, que usan el cardingcomo medio para fondear y sostener sus otras actividades ilícitas.El 22 de septiembre de 2008, la oficina del Procurador de Massachusetts publicó en unboletín de prensa que varios hombres de Miami, Florida (Christopher Scott y AlbertGonzález, entre otros) fueron sentenciados en una corte federal por conspirarelectrónicamente para infiltrarse en redes informáticas corporativas, descargar informaciónde tarjetas de débito y crédito de clientes, y fraudulentamente usar y vender dichainformación.Entre 2003 y 2007, los acusados hackearon las redes inalámbricas de grandes tiendasdepartamentales, mediante la práctica conocida como “wardriving”. En un vehículo conuna laptop encendida, manejaban cerca de centros comerciales y grandes tiendasdepartamentales de Miami, buscando “hot-spots” de redes inalámbricas vulnerables.Cuando encontraban una, se estacionaban en lotes cercanos o inclusive rentaban cuartospara poder comprometer el perímetro de las redes informáticas de estas empresas. Unavez adentro, ellos buscaban dentro de la red información de tarjetas de crédito y débito,ya sea almacenada o viajando sobre la red en un estado no seguro (sin encripción).Scott le entregaba la información cosechada a González para su venta y uso fraudulentoen Internet. Scott recibió $400,000 dólares en efectivo y tarjetas clonadas pre-cargadas.Los acusados enfrentan una sentencia de 22 años en prisión, seguidos de 3 años delibertad condicional y una multa por $1,000,000 de dólares.Siendo el abogado de uno de los fabricantes más grandes del mundo de cajerosautomáticos, he tenido la oportunidad de analizar casos similares con algunos clientes, ypuedo asegurarle que nada de lo que acaba de leer es ciencia ficción o está lejos desuceder en México. Toda empresa que maneje datos personales o información sensible declientes y consumidores es una víctima potencial de carding, y otro tipo de fraudes derobo de identidad. Su organización no debe tomar esto a la ligera y debe adoptar todas lasmedidas de seguridad informática pertinentes para evitar ser víctima de estosdelincuentes.Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en DerechoComercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y PropiedadIntelectual desde 1996.

×