martes, julio 26, 2005

Mercado negro de tarjetas de crédito en InternetAgregar a mi carpeta

Cómo funciona el tráfico de números, contraseñas, claves y datos personales obtenidos ilícitamente

"¿Querés manejar autos rápidos?", pregunta un anuncio, en inglés elemental, publicado en el sitio Web iaaca.com. "¿Querés vivir en hoteles de primera? ¿Querés chicas bonitas? Todo es posible con unos dumps de ZoOmer." Un dump en la lengua vernácula del floreciente mercado negro on line significa el número de una tarjeta de crédito. Y lo que ZoOmer vende de puerta en puerta es información robada sobre cuentas -nombre y apellido, domicilio de facturación, teléfono- de tarjetas Visa Dorada y MasterCard por 100 dólares cada una.

No se puede precisar si los datos robados de CardSystems Solutions -el procesador de pagos que informó hace un mes que había expuesto 40 millones de cuentas de tarjetas de crédito a posibles estafadores- ingresaron en este mercado negro. Pero funcionarios judiciales y expertos en seguridad sostienen que probablemente los datos terminarán en sitios como iaaca.com, cuyas iniciales corresponden a las siglas de Internacional Association for the Advancement of Criminal Activity (Asociación Internacional para el Desarrollo de la Actividad Delictiva).

La información que los delincuentes desvían -números de cuentas bancarias y de tarjetas de crédito, y una gran cantidad de información sobre consumidores- se pregona descaradamente en Internet. El valor de los datos depende de su conversión inmediata en compras on line, falsificación de tarjetas o esquemas más elaborados de robo de identidad.

El comercio ilegal on line de números de cuentas bancarias y tarjetas de crédito, igual que otros datos de consumidores sin procesar está muy bien estructurado. Hay compradores y vendedores, intermediarios e incluso industrias de servicios. Los actores provienen de todo el mundo, pero la mayoría de los sitios donde se encuentran son operados por servidores de la ex Unión Soviética, por lo que resulta difícil controlarlos.

Los delincuentes enseguida obtienen títulos, puntajes y reputación por la calidad de los productos que ofrecen, cosa que también determina el precio. Y se imparte bastante conocimiento institucional y sabiduría compartida a los recién llegados que buscan ingresar en el mercado; por ejemplo, instrucciones de cómo trasladar pagos y cuál es el mejor momento del mes para apoderarse de una cuenta.

La Federal Trade Commission (Comisión Federal de Comercio) de los Estados Unidos estima que cada año a diez millones de estadounidenses, aproximadamente, se les roba información personal para distintas estafas, lo que representa un costo para los consumidores de 5000 millones de dólares y para las empresas, de 48.000 millones de dólares al año.

Nadie está dispuesto a estimar cuántos números de cuentas y tarjetas forman parte de la subasta en Internet, pero distintos funcionarios judiciales coinciden en que el mercado es gigantesco. Todos los días, en sitios como iaaca.com y carderportal.org individuos con seudónimos realizan transacciones en un misterioso lenguaje de siglas.

Los cobs, o cambios de facturas, son una mercancía muy preciada. Por lo general, el vendedor de cobs ofrece cuentas bancarias o tarjetas de crédito nuevas, junto con la capacidad de cambiar el domicilio de facturación mediante un PIN robado. En otros casos, el vendedor se ofrece para cambiar la dirección él mismo, como si fuese un servicio. A veces, la dirección se cambia por un drop seguro, que podría ser un departamento vacío en un edificio del lugar, o algún otro sitio donde pueden dejarse mercaderías. (También se compra y vende información sobre drops confiables.)

Los tutoriales extensos publicados en foros sobre obtención de tarjetas on line indican que el servicio de cob que se ofrece es especializado. Un delincuente armado de paciencia espera hasta el día que la víctima recibe el resumen de su tarjeta. "De esta forma, tiene 30 días completos antes de que la víctima revise su cuenta otra vez", explica un tutorial recogido por el FBI.

Junto con los anuncios que ofrecen cobs están los pitchers de los codificadores maliciosos, que venden sus servicios a los estafadores, conocidos como phishers, que contratan a spammers para que envíen millones de e-mails falsos, cada vez más sofisticados, con el propósito de seducir a las víctimas y hacer que éstas revelen la información de sus cuentas.

Una operación de phishers exitosa podría generar miles de números de cuentas nuevos, junto con otros detalles de identificación como nombres, direcciones, números telefónicos, contraseñas, PIN y apellido de soltera de la madre. Cuanto más rico sea el detalle (y mayor sea el saldo de la cuenta), mejor será el precio.

Un usuario con el seudónimo Sirota vende información sobre cuentas tan detallada y estructurada que resulta evidente que proviene de un informe crediticio. Sirota pide 200 dólares por los datos de cuentas con saldos disponibles por encima de 10.000 dólares, con un pedido mínimo de cinco si el comprador quiere cuentas asociadas con un banco en particular. "También ofrezco dumps con acceso on line -escribió-. El precio de estos dumps es el 5% del crédito disponible."

Todos los días surgen más. "Estas cosas tienen un tiempo breve de exposición -acotó Dan Larkin, jefe de unidad del Centro de Reclamos por Delitos en Internet del FBI en West Virginia-. El valor delictivo de una tarjeta de crédito acordada es a corto plazo, de ahí que surja la necesidad constante de mantener sus recursos."

De plástico también

Aquellos que compran remesas nuevas de números de cuentas pueden intentar hacer compras on line y hacer que los productos los entreguen en un departamento desocupado para venderlas luego en subastas on line.

Los ladrones más sofisticados buscan un vendedor de dispositivos de codificación y vendedores de plástico, o tarjetas de crédito en blanco, y algos, algoritmos que son necesarios para codificar adecuadamente la franja magnética y hacer una tarjeta que pueda usarse. Los servicios de cash out pueden coordinarse con esas ofertas para llevar el plástico codificado a un cajero automático y hacer extracciones diarias hasta agotar la cuenta. (Este riesgo tiene un recargo: por lo general, el 50% o más del saldo total.)

Los estafadores -ya sea los que trabajan con plástico, cobs u otro botín- tienen que obtener una buena reputación antes de ganarse el derecho a poner su aviso, y luego, en una versión de mercado negro de eBay puede mejorar su condición con el reconocimiento de los otros miembros. A nadie se le permite anunciar productos o servicios en la mayoría de estos sitios sin antes obtener la aprobación de los administradores o por quienes hayan sido elegidos como revisores de confianza.

Cómo se realizan los pagos

Los contactos entre estos comerciantes casi siempre se mueven fuera de las carteleras y en el ICQ, el programa de mensajería instantánea preferido por los ciberladrones por su anonimato. Los pagos por lo general pasan de una mano a otra en el anonimato relativo (y con poca regulación) mediante e-gold, una moneda electrónica que pretende estar respaldada por lingotes de oro y emitida por E-Gold Ltd., una sociedad anónima registrada en la isla de Nevis en el Caribe.

Las transacciones podrían hacerse también en WMZ, unidades monetarias electrónicas que equivalen a dólares estadounidenses y son emitidas por WebMoney Transfer, una empresa con sede en Moscú.

Muchas entidades no delictivas usan estos servicios para transferir dinero, confesaron los analistas de los Servicios Secretos, aunque agregaron que la agencia mantuvo conversaciones con algunos de los emisores de monedas electrónicas con el fin de evaluar distintas formas de abordar el problema.

Mark Rasch, el ex jefe de ciberinvestigaciones del Departamento de Justicia y actual vicepresidente de Solutionary, una empresa de seguridad informática, declaró que los números tomados de CardSystems -200.000 como mínimo, que se estima que se encontraban en archivos robados- terminarán casi con certeza en uno de estos sitios de venta.

ChoicePoint, un recolector de datos, fue otra mina de oro; dio a conocer en febrero que un grupo de delincuentes, haciéndose pasar por clientes corporativos legítimos (sin necesidad de hackers), habían bajado miles de registros de sus bases de datos.

Y Rash señaló que es prácticamente imposible detenerlo. A juzgar por toda la información que los expertos en seguridad y justicia pueden obtener de sitios como iaaca.com, "hay mercados enteros de sistemas de carteleras de anuncios y chat que son invisibles", añadió.

Sin embargo, la Justicia avanzó. En octubre, el Departamento de Justicia y los Servicios Secretos anunciaron el arresto de 28 individuos en ocho estados y varios países, entre ellos, Suecia, Gran Bretaña, Polonia, Bielorrusia y Bulgaria.

Entre los detenidos se encontraban, según el Departamento de Justicia, los cabecillas de Shadowcrew.com, el bazar más grande en la Web, en idioma inglés, donde se comercializa de todo, desde tarjetas de crédito robadas, números de cuentas bancarias y de tarjetas de débito hasta registros de conductor, pasaportes y tarjetas de seguro social falsos.

La investigación, llamada Operación Firewall, desbarató a un grupo clandestino de 4000 integrantes que, según el Departamento de Justicia, compró y vendió alrededor de dos millones de números de cuentas de tarjetas de crédito en dos años. Pero ocho meses después, los delincuentes se adaptaron y retomaron su actividad. "Son más caprichosos ahora", aseveró John Watters, presidente de iDefense, que brinda servicios de inteligencia sobre delitos en Internet al Gobierno y a clientes de la industria financiera. La Operación Firewall sacó algunos de los "frutos más bajos", dijo Watters. Pero eso sólo provocó que los modelos de fijación de precios sean más refinados, y que los personajes de esta economía de mercado negro sean cada vez más sofisticados.

Tom Zeller (h.)
Traducción: Andrea Arko

Sin registros de casos en la Argentina

Aunque exista un floreciente mercado negro con los números de las tarjetas de crédito, cabe destacar que el robo de estos datos no se produjo a las propias empresas que emiten esos plástico, sino en sitios intermediarios como CardSystems y ChoicePoint. ¿Hubo argentinos entre las víctimas de estas prácticas delictivas?

Según el presidente de la Cámara Argentina de Comercio Electrónico, Marcos Pueyrredón: "No hemos tenido ningún reporte de casos registrados en el país de robo y venta de números de tarjetas de crédito mediante Internet. Tampoco hay casos de phishing".

Norberto Marinelli, vicepresidente de Certisur, afiliado de la certificadora Verisign para el Cono Sur, dijo: "No tenemos información de ningún caso de robo de números de tarjetas argentinas por la Red. Estas prácticas se combaten mediante la utilización de sitios seguros para efectuar transacciones y con la educación de la gente. Con relación a esto último, quiero decir que los usuarios de la Web tienen que recordar que la dirección de un sitio seguro siempre comienza con https, a diferencia del conocido http. También a la derecha de la barra de tarea debe haber un candadito cerrado".

Ambos entrevistados recordaron la necesidad de estar alerta ante prácticas menos tecnológicas y más autóctonas de cuentos del tío, donde los propietarios de tarjetas entregan voluntariamente el número para comprar algún bien o contratar un servicio.

Link corto: clic aquí

No hay comentarios.: