Cada vez son más los consumidores que renuncian a llevar calderilla en el bolsillo y pagan todas sus compras con tarjeta de crédito, incluso las más pequeñas. De hecho, la experiencia nos dice que los establecimientos sin datáfono no solo facturan bastante menos sino que esta práctica también les supone reseñas negativas en los buscadores. En este contexto, y aunque los pagos sin contacto (también mediante smartphones y relojes inteligentes) son cada vez más frecuentes, los ciberdelincuentes buscan hacer el agosto mediante la técnica conocida como ‘skimming’, para la que resulta imprescindible insertar físicamente la tarjeta en un dispositivo electrónico.

El término skimming proviene del verbo anglosajón ‘to skim’, que puede traducirse por ‘echar un vistazo rápido’ u ‘ojear’. Es lo que hacen los amantes de lo ajeno con los datos de la tarjeta en cuestión: miran su numeración, incluida la fecha de caducidad y el Código de Valor de Validación o ‘CVV’. Además de estar impresas, estas combinaciones se almacenan en la banda magnética y en el chip de la tarjeta, pudiendo obtenerse de forma ilícita para después transferirlas a una tarjeta nueva a modo de réplica.

Dicha clonación puede tener lugar a través de los métodos más variopintos. Uno de lo más usuales es la colocación de un lector de tarjetas falso en los cajeros automáticos, lo que permite a los delincuentes recopilar la información sin esfuerzo: tan solo deben acudir al finalizar la operación para retirar su ‘invento’ y escoger uno nuevo al que acoplarlo para seguir coleccionando dígitos. En ocasiones, también pueden superponer cámaras y teclados para captar más fácilmente el código PIN de la tarjeta.

Las Fuerzas y Cuerpos de Seguridad del Estado también han detectado datáfonos modificados internamente para hacer ‘skimming’ o aparatos diseñados específicamente para leer bandas magnéticas (‘skimmers’). Algunos cuentan además con programas informáticos maliciosos (‘malware’) capaces tanto de robar la información como de realizar transacciones al momento, lo que acorta el margen de reacción de la víctima.

DEL "CARDING" A LOS "BINEROS"

Dichas transacciones nos llevan a otro concepto íntimamente relacionado con el ‘skimming’: el ‘carding’. La mayoría de ciberdelincuentes recurren a esta técnica nada más agenciarse los datos de nuestra tarjeta de crédito. Consiste en realizar pequeñas compras esporádicas en cadenas de comida rápida, perfumerías, tiendas ‘online’... Algunos incluso pagan en aduanas o se suscriben a plataformas de streaming (cuyas cuotas rondan los 6 a 9 euros mensuales) para que estos cargos pasen desapercibidos a la víctima durante el mayor tiempo posible. Ésta no suele ser consciente de las microtransacciones hasta que comprueba su extracto de gastos a medio plazo y ya suele ser demasiado tarde para reclamar en la mayoría de tiendas.

En otras ocasiones, las numeraciones sustraídas terminan siendo vendidas a terceros en grupos ilícitos de internet. Sus integrantes suelen denominarse ‘bineros’ en relación al acrónimo ‘BIN’ (de Bank Identification Number o Número de Identificación de Entidad Bancaria), esto es, las seis primeras cifras de las tarjetas, que sirven para reconocer tanto el banco como la tarjeta en sí.

Los expertos en ciberseguridad coinciden en una serie de consejos básicos a la hora de blindarnos frente al ‘skimming’. El más evidente es no perder de vista la tarjeta: siempre hemos de ver dónde la introduce el responsable del supermercado, restaurante o comercio al que acudamos, aunque lo ideal es que únicamente la manipulemos nosotros.

Otro clásico es no anotar el PIN en ningún sitio (ni siquiera en la aplicación de notas del teléfono) y, por supuesto, no darlo a conocer a terceros. Cuando lo introduzcamos, lo haremos lo más rápido posible y cubriendo el teclado con la mano, tanto en datáfonos como en cajeros. Con éstos, no está de más dedicar un momento a examinarlos antes de sacar dinero: ¿presentan algún signo de manipulación o sobresale algún componente de forma extraña? Si además el cajero se encuentra en un lugar apartado y poco iluminado, has de saber que son los favoritos de los delincuentes para llevar a cabo sus tretas. Mejor buscar otro cercano.

NOTIFICACIONES INSTANTÁNEAS

Aprender a activar y desactivar la tarjeta mediante nuestra aplicación de banca electrónica es otra recomendación inestimable: podemos solicitar ayuda al responsable de nuestra oficina, ya que esta sencilla operación puede evitarnos muchos sustos y quebraderos de cabeza ante cualquier intento de estafa. Dicha app también permite impedir las operaciones en el extranjero o limitar a cierta cantidad el dinero que podemos retirar en un solo día.

Y ya que hablábamos del ‘carding’, una técnica infalible para darnos cuenta de estas pequeñas operaciones ilícitas son las notificaciones instantáneas: que el banco nos envíe una alerta al momento de producirse cada uno de los pagos que realizamos con la tarjeta de crédito. Si aparece alguna que no nos cuadre en la pantalla del teléfono, no tenemos más que ponernos en contacto con el número de incidencias de la entidad. Independientemente de lo anterior, por último, conviene repasar los extractos de forma periódica. Ya no solo por seguridad: a veces no somos conscientes de cuánto estamos derrochando en cosas innecesarias hasta que vemos todos los cargos listados uno detrás de otro.

7.390 millones es el número de operaciones con tarjetas de crédito que se realizan cada año en España para pagar en terminales de puntos de venta (TPV).