La Ley y el Desorden 2.0 Unidad de Víctimas del Cibercrimen

Tarjeteros Terroristas La modalidad más global y sofisticada de Robo de Identidad

Por Joel A. Gómez Treviño

Todos hemos escuchado en las noticias, en reuniones familiares o sociales e inclusive en el

trabajo, que alguien cercano o conocido ha sido víctima de la “clonación de tarjetas” de

crédito o débito. Los más cautos, piden a los meseros traer las terminales remotas a la

mesa para poder hacer uso de la tarjeta sin perderla de vista. Cada día vivimos con miedo

a soltar nuestras tarjetas de crédito o débito, por temor a que sean clonadas.

Tan grave fue el problema en nuestro país, que algunas instituciones financieras

presionaron a los legisladores del Distrito Federal para que tipificaran “la clonación de

tarjetas” (y otras conductas similares) como delito grave en el Código Penal para el D.F.

(Art. 336 fr. VI). El Estado de México, Puebla y Quintana Roo se sumaron a esta

modificación legislativa. Por su parte, el pasado 26 de marzo de 2008, la Cámara de

Diputados aprobó reformas a la Ley de Instituciones de Crédito, la Ley General de Títulos

y Operaciones de Crédito, el Código Federal de Procedimientos Penales y al Código Penal

Federal con el objeto de tipificar y castigar la clonación de tarjetas de crédito o débito.

De acuerdo a la Asociación de Banqueros de México, el 80% de las pérdidas anuales que

sufre el sector bancario (80 millones de dólares) se deben al fraude de tarjetas. Sin

embargo, hoy en día podría podríamos afirmar que esta modalidad de “clonación” es la

más primitiva y la de menor impacto, si consideramos otros modus operandi de bandas

criminales que operan a nivel internacional.

Desde el 2004 a la fecha, las autoridades e instituciones han estado cada vez más

expuestas y más preocupadas por un fenómeno criminal mundial en el que intervienen

desde jóvenes hackers inexpertos hasta terroristas y extremistas del medio oriente: el

Tarjeteo. ¿Verdad que suena ridículo el término? Con su permiso, y a riesgo de ser

acusado de malinchista, prefiero referirme de ahora en adelante a este término como

“Carding” o “Carders”, para ubicar a los protagonistas de esta actividad criminal.

Con el avance de la tecnología, el compromiso (robo) de información a gran escala

es casi un juego de niños. Se trata de una exposición, revelación o pérdida de información

personal sensible, no autorizada o sin intención, que sufre una organización o empresa.

Los ciber criminales acceden remotamente a sistemas informáticos de gobierno,

universidades, comerciantes, instituciones financieras, empresas de tarjetas de crédito y

procesadores de información, para robar grandes volúmenes de información personal de

individuos.

Bandas criminales organizadas en todo el mundo usan foros de discusión (carding

forums) para dedicarse a la venta de información personal y financiera robada. Estos

foros regularmente ofrecen los mismos “servicios” a sus “clientes”: (1) Tutoriales sobre

diferentes tipos de actividades relacionadas al “tarjeteo” (carding); (2) mensajes públicos

y privados que permiten a los miembros comprar y vender bloques de información robada;

(3) ligas para descargar herramientas de hackeo y código malicioso para realizar

intrusiones informáticas; (4) código fuente para hacer sitios web para phishing; etc. Estos

sitios web constituyen el mercado negro para la venta de información personal robada.

Desde 2005, ha surgido un gran número de compromisos de información de alto perfil

involucrando el robo de grandes volúmenes de información personal. Esta explosión

empezó con el compromiso de 163,000 registros financieros de consumidores

almacenados en sistemas informáticos de la empresa Choicepoint, Inc.

Tres de los más grandes compromisos de información altamente publicitados en los años

recientes son: DSW, Inc. (1.4 millones de números de tarjetas de crédito robadas),

CardSystems Solutions, Inc. (239,000 registros de tarjetas de crédito robados) y TJX

Companies, Inc. (94 millones de cuentas afectadas). En todos los casos, las autoridades

encontraron que las empresas fallaron en tomar medidas razonables de seguridad para

proteger su información sensible; concretamente la información personal contenida en las

cintas magnéticas de las tarjetas de crédito y débito de sus clientes, que fue almacenada

en las computadoras de las organizaciones.

Si se preguntan cómo es que salen a la luz pública esta clase de intrusiones informáticas,

cuando lo lógico es que toda empresa víctima de esta clase de delitos lo primero que

desearía es que esto nunca sucediera, la respuesta es simple: muchos estados de la unión

americana tienen leyes que obligan a las empresas que manejen información a que

notifiquen a sus clientes cualquier evento de compromiso de información que involucre la

adquisición no autorizada de información personal.

En Estados Unidos, los daños a los consumidores por esta clase de delitos son menores o

inclusive inexistentes, ya que por ley, la responsabilidad de los consumidores por uso no

autorizado de tarjetas de crédito y débito está limitada a $50 dólares. Sin embargo, los

consumidores pueden verse afectados por otra clase de molestias, como la invasión a su

privacidad y el daño a su reputación crediticia.

Por su lado, el daño a las instituciones financieras y las empresas de donde es robada la

información de las cuentas de los usuarios si es significativo. Una entidad que sufre estas

intrusiones, tiene que hacer frente a (1) los costos asociados con la impresión de nuevas

tarjetas, (2) los costos asociados con el monitoreo de cuentas sospechosas de fraude, y

(3) las pérdidas derivadas del fraude. Además, probablemente sean víctimas de

demandas, impacto negativo en la bolsa, negocios perdidos, clientes perdidos, multas, etc.

Si a estas alturas del artículo a usted le surge la duda: “pero… ¿esto que tiene que ver

conmigo o mi empresa? ¡Que se preocupen los bancos!”, pues lamento informarle que no

solo los bancos o instituciones financieras son víctimas de este tipo de fraudes, sino

virtualmente cualquier empresa, comerciante o entidad que maneje y almacene

información personal o financiera de sus clientes considerada como sensible (tarjetas de

crédito, nombres, direcciones, datos de identificaciones, etc.) En los Estados Unidos,

supermercados, cadenas de zapaterías, tiendas de electrónicos y sobre todo empresas que

realizan actividades de comercio electrónico están siendo demandadas por esta clase de

intrusiones informáticas que terminan en compromisos de información a gran escala.

A diferencia de otros tipos de robo de identidad, el carding involucra el robo a gran escala

de números y cuentas de tarjetas de crédito y otra clase de información financiera. Otros

métodos a menor escala para el robo de identidad son: hurgando en la basura (dumpster

diving), skimming (clonación de tarjetas en cajeros automáticos), phishing (ingeniería

social aplicada para obtener datos personales) y otros viejos métodos de robo.

La conducta conocida como “carding” no solo incluye la manera o métodos que los

criminales usan para obtener y vender la información personal robada, sino desde luego,

lo más importante, también se refiere a cómo obtener un lucro o dividendos de este

particular robo de identidad.

A saber, existen cuatro tipos de “tarjeteo”: online carding, in-store carding, cashing y

venta de tarjetas de regalo. El online carding se refiere al uso de información robada de

tarjetas de crédito para la compra de productos y servicios a través de Internet. Como el

término lo sugiere, in-store carding implica que el criminal presente ante un cajero de una

tienda física una tarjeta “clonada” en la que ha sido previamente codificada la información

robada de tarjetas de crédito.

Por cashing debemos entender lo que en México la industria bancaria y de cajeros

automáticos conocemos como “ordeñamiento de tarjetas”. Un individuo visita cajeros

automáticos, usualmente a horas de poco tránsito de clientes, con decenas o cientos de

tarjetas clonadas que traen codificada la información robada y los NIPs anotados sobre

cada plástico. El último tipo de carding consiste en comprar tarjetas de regalo, comunes

en todas las grandes tiendas y almacenes de prestigio, usando tarjetas clonadas, para

después revenderlas en el mercado negro por un porcentaje de su valor real.

Las autoridades en Estados Unidos no se han quedado cruzadas de brazos y desde hace

años han emprendido una batalla campal en contra de los “Carding Forums”; muchos de

ellos han sido desarticulados y sus administradores están siendo enjuiciados por diversos

delitos. Individuos en Estados Unidos, Rusia, Reino Unido e Indonesia han sido arrestados

por estos crímenes. En las investigaciones conducentes, las autoridades han encontrado

que muchos de estos delincuentes son terroristas y narcotraficantes, que usan el carding

como medio para fondear y sostener sus otras actividades ilícitas.

El 22 de septiembre de 2008, la oficina del Procurador de Massachusetts publicó en un

boletín de prensa que varios hombres de Miami, Florida (Christopher Scott y Albert

González, entre otros) fueron sentenciados en una corte federal por conspirar

electrónicamente para infiltrarse en redes informáticas corporativas, descargar información

de tarjetas de débito y crédito de clientes, y fraudulentamente usar y vender dicha

información.

Entre 2003 y 2007, los acusados hackearon las redes inalámbricas de grandes tiendas

departamentales, mediante la práctica conocida como “wardriving”. En un vehículo con

una laptop encendida, manejaban cerca de centros comerciales y grandes tiendas

departamentales de Miami, buscando “hot-spots” de redes inalámbricas vulnerables.

Cuando encontraban una, se estacionaban en lotes cercanos o inclusive rentaban cuartos

para poder comprometer el perímetro de las redes informáticas de estas empresas. Una

vez adentro, ellos buscaban dentro de la red información de tarjetas de crédito y débito,

ya sea almacenada o viajando sobre la red en un estado no seguro (sin encripción).

Scott le entregaba la información cosechada a González para su venta y uso fraudulento

en Internet. Scott recibió $400,000 dólares en efectivo y tarjetas clonadas pre-cargadas.

Los acusados enfrentan una sentencia de 22 años en prisión, seguidos de 3 años de

libertad condicional y una multa por $1,000,000 de dólares.

Siendo el abogado de uno de los fabricantes más grandes del mundo de cajeros

automáticos, he tenido la oportunidad de analizar casos similares con algunos clientes, y

puedo asegurarle que nada de lo que acaba de leer es ciencia ficción o está lejos de

suceder en México. Toda empresa que maneje datos personales o información sensible de

clientes y consumidores es una víctima potencial de carding, y otro tipo de fraudes de

robo de identidad. Su organización no debe tomar esto a la ligera y debe adoptar todas las

medidas de seguridad informática pertinentes para evitar ser víctima de estos

delincuentes.

Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho

Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad

Intelectual desde 1996.