Como vimos en el caso Shell, la táctica de manipular el terminal para extraer información de la tarjeta es un punto de ataque en el que los protocolos criptográficos resultan inútiles. No fue un hecho aislado. Durante 2006, se detectaron diversos casos de clonado en los que tarjetas de ciudadanos alemanes de vacaciones eran copiadas en Italia y Hungría[31].
Un grupo de investigadores consiguió controlar los circuitos de un lector de tarjetas de forma tan perfecta ¡que incluso se permitieron reprogramarlo para jugar al Tetris![32]. Suena cómico, pero el poder de manipular un terminal asusta. Usted podría pensar que está pagando con tarjeta la cuenta del restaurante, sin saber que el camarero está utilizando esa transacción para pasar la información a una segunda tarjeta (fraudulenta) y realizar compras sin que el usuario legítimo se entere hasta que sea demasiado tarde. Esa compra fraudulenta no podría ser disputada, porque para la tienda fue el cliente quien utilizó su tarjeta y su PIN de forma correcta[33].
En febrero de 2008, un artículo firmado por los investigadores de Cambridge Saar Drimer, Stephen J. Murdoch y (sorpresa, sorpresa) Ross Anderson mostraba precisamente cómo dos de los teclados más utilizados para introducir los PIN de las tarjetas eran vulnerables, y podían ser fácilmente manipulados para extraer información que permitiera clonar la tarjeta[34]. El ataque era, al menos en potencia, particularmente grave en el Reino Unido por dos motivos: el primero, que las tarjetas con Chip+PIN habían sido ya diseminadas y usadas de forma masiva; el segundo, que bastaban pocas horas para sacar una tarjeta clonada del país y utilizarla en otro, digamos en Irlanda o en Holanda.
A pesar de que el ataque salió descrito en un programa de la BBC, y de que Drimer, Murdoch y Anderson recibieron el premio al artículo más práctico en el Simposio de la IEEE sobre Seguridad y Privacidad en 2008, no parece que la industria de tarjetas de crédito se lo tomase muy en serio. Un comunicado de VISA respondió del modo habitual en la mayoría de estos casos: “no tenemos pruebas, a partir del artículo académico de Cambridge, de nada que no supiésemos ya, o de nada que presente una amenaza a la seguridad de las tarjetas en el mundo real”[35]. La empresa Ingenico, fabricante de los lectores de tarjeta analizados fue incluso más allá:
“El método identificado en el artículo de la Universidad de Cambridge requiere conocimientos especializados y tiene dificultades técnicas inherentes. Este método, por tanto, no es reproducible a gran escala, y no tiene en cuenta el proceso de vigilancia de fraude utilizado por la industria”[36].
Por su parte, APACS, que coordinó la introducción del sistema Chip+PIN en el Reino Unido, evaluó como muy bajo el riesgo del nuevo ataque porque, en su opinión, requeriría mucho esfuerzo, sería fácil de detectar y no resultaría económicamente viable para grupos criminales[37]. Según se desprende de estas declaraciones, los descubrimientos hechos por algunos académicos aquí y allá no son más que brillantes ejercicios teóricos para publicar artículos especializados, pero sin aplicaciones en el mundo real. No hay un Doctor Maligno oculto en una base secreta de alta tecnología, manipulando lectores de tarjetas a millares para obtener grandes beneficios.
Para sorpresa de todos ¡eso era exactamente lo que estaba sucediendo! En octubre de 2008 se descubrió que centenares de lectoras de tarjetas habían sido manipuladas para extraer información. Lo novedoso del caso consistió en que la manipulación no fue efectuada en los países de uso, sino en China, donde las máquinas lectoras se construían. Siguiendo un guión de película, los atacantes entraron en la fábrica de máquinas lectoras, y realizaban allí mismo las manipulaciones, o bien consiguieron acceso poco después. Las lectoras viajaron luego a Europa, donde fueron instaladas en centenares de tiendas y supermercados de al menos cinco países: Reino Unido, Irlanda, Bélgica, Holanda y Dinamarca. Cuando un cliente insertaba su tarjeta, un módulo manipulado leía los datos y, mediante una conexión telefónica GSM, enviaba la información a un número de Lahore (Pakistán).
La sofisticación de este ataque iba más allá de los detalles técnicos. Los defraudadores utilizaban solamente parte de la información de las tarjetas de crédito leídas. A veces las lectoras enviaban datos sobre una de cada diez tarjetas usadas; en otros casos, se interesaban solamente por las tarjetas VISA Platino. Las lectoras llamaban a casa a intervalos irregulares, diariamente o una vez por semana. Cuando la información robada era recibida los ladrones fabricaban tarjetas clonadas, pero esperaban al menos dos meses para usarlas, con lo que complicaban las labores de seguimiento de la policía y los bancos. Una vez pasado un tiempo prudencial, procedían a desvalijar al cliente legítimo mediante compras en otros países, transacciones online (por teléfono o Internet), y en ocasiones, retiradas de efectivo en cajero.
La banda llegó incluso al extremo de realizar los robos “a medida” según el tipo de tienda donde estaba instalada la máquina lectora de tarjetas. Si se trataba de una tienda pequeña, las cantidades que defraudaban eran pequeñas; por el contrario, las tiendas grandes de electrónica eran las candidatas ideales para un saqueo a gran escala. Por ese motivo, las autoridades tardaron varios meses en detectar el fraude. Se cree que comenzó hacia enero-febrero de 2008, lo que no permite aclarar si el grupo obtuvo la idea del artículo de Anderson de febrero, o si llegaron a la conclusión ellos solos.
Lo cierto es que se trató de un ataque impresionante: a pesar de que ya en marzo MasterCard detectó patrones extraños en el uso de tarjetas de crédito (lo que sugería un posible fraude), las autoridades tardaron seis meses en descubrir el mecanismo usado por los ladrones. Una vez comprobado el método de ataque, resultó fácil descubrir cuáles de las lectoras de tarjeta había sido manipulados, ya que los dispositivos adicionales insertados por los ladrones (el módulo GSM y el grabador de datos) hacía que pesasen cien gramos más que las genuinas.
Cuando se hizo público el fraude, las cifras preliminares del fraude arrojaban una cantidad de cien millones de dólares. La preocupación iba más allá del mero montante económico, ya de por sí muy grande. El jefe del National Counterintelligence Executive (una agencia norteamericana dedicada a la lucha contra el espionaje industrial) llegó a equiparar la hazaña con algo “que, hace algunos años, sólo un servicio de inteligencia exterior podría haber hecho”[38].
Las agencia de inteligencia occidentales llegaron a preocuparse seriamente por la posibilidad de que la cadena de fraude se estuviese utilizando para proporcionar fondos a al Qaeda. En noviembre de 2008, el director de la CIA Michael Hayden indicó que Osama bin Laden probablemente se escondía en el noroeste de Pakistán, información que se confirmó en mayo de 2011, cuando fuerzas especiales norteamericanas dieron muerte a bin Laden en la ciudad pakistaní de Abbotabbar. No hay pruebas de que todo o parte del dinero llegase a manos de al Qaeda, pero en cualquier caso el fraude de 2008 queda como uno de los más importantes de la historia tanto por su volumen como por su sofisticación.
El problema de asegurar la integridad de los terminales lectores de tarjetas es grave y sigue sin solución. Las propias entidades de tarjetas de crédito lo reconocen sin tapujos[39]. En un caso más reciente, la policía de Toronto (Canadá) descubrió una nueva táctica de hurto. Los defraudadores entran en una tienda, y mientras algunos de ellos distraen a los clientes y empleados, otro cambia el terminal legítimo por uno trucado, algo especialmente fácil de lograr si son del tipo inalámbrico. Al final del día, deshacen el cambio y se van a su guarida con un terminal que ha leído las bandas magnéticas y los PIN de todas las tarjetas que se han usado en él[40].
Una de las pistas que permite descubrir el terminal falso es que la tarjeta se introduce en su totalidad, no solamente la parte del chip; eso es necesario para que pueda leer y copiar la información de la banda magnética. Si eso le sucede a usted, desconfíe. Es posible que el terminal sea legítimo y lo haga para poder verificar la información de la banda magnética, pero ¿por qué arriesgarse a estas alturas? No le importe ponerse en modo paranoico. Al fin y al cabo, es su dinero.