En EEUU: ¿Por quíé sus cuentas son vulnerables a los ladrones?

[OCIN]

Millonarias píérdidas por fraudes

El año pasado, el cliente del banco sospechó que algo pasaba cuando trató de sacar dinero desde su carro en un cajero automático de New Port Richey, Fla. La luz de LED que parpadeaba alrededor de la ranura de la tarjeta destellaba más rápido de lo normal y tomaba la tarjeta muy lentamente, les comentó a los funcionarios de la oficina del sheriff.

Luego, extendió la mano, sacudió la ranura y se quedó con la ranura en la mano. Le avisó al banco y la policí­a comenzó la investigación.

Descubrieron que se habí­a colocado un lector de tarjetas falso o "skimmer" sobre la ranura verdadera para la tarjeta y una cámara pequeña habí­a filmado a los clientes cuando ingresaban sus códigos de identificación personal. "Tenemos la cinta de vigilancia del banco en la cual el sospechoso instala el equipo", nos comenta el sargento Jeffrey Peake, de la Oficina del Sheriff del condado de Pasco.

El cliente evitó convertirse en ví­ctima de un fraude, pero otros norteamericanos no tuvieron tanta suerte.

En EU, según una encuesta de 2010 de ACI Worldwide, que ofrece sistemas de pago a las instituciones, unidades de proceso y minoristas financieros, en los últimos cinco años el 32 % de los consumidores informaron fraudes con tarjeta, más que el 27% que arrojó la encuesta en 2009.

Es posible que esa cifra vaya en aumento, porque las tarjetas de críédito y díébito que la mayorí­a de los norteamericanos usa son sorprendentemente vulnerables al fraude, ya que la tecnologí­a que se utiliza es obsoleta y hace que sea más sencilla la falsificación.

Las tarjetas más "seguras" tambiíén son vulnerables

Consumer Reports investigó y llegó a la conclusión de que incluso algunas tarjetas con chips de identificación con etiquetas de radiofrecuencia (RFID por sus siglas en inglíés) que permiten hacer compras sin tener que pasar la tarjeta por un lector de código de barras, son vulnerables a la falsificación virtual.

Fuimos testigos de cómo se pueden transmitir datos tales como el número de cuenta de la tarjeta, la fecha de vencimiento y los datos de seguridad que los ladrones pueden interceptar y usar para falsificar tarjetas.

A menudo, la información de las tarjetas de críédito y díébito norteamericanas se almacena sin codificar en una banda magníética al dorso de la tarjeta, banda que los ladrones pueden copiar fácilmente, a bajo costo.

Adiós a las tarjetas de pago con bandas magníéticas

EU y algunos paí­ses no industrializados de ífrica se encuentran entre las pocas naciones que todaví­a utilizan tarjetas de pago con bandas magníéticas, muy utilizadas en la díécada de 1970. China anunció que no producirá ni aceptará este tipo de tarjetas despuíés de 2015; los viajeros norteamericanos tambiíén ven que sus tarjetas no se aceptan en algunas estaciones de servicio, estacionamientos, subterráneos y negocios en Europa. El Banco Central de Europa recomendó que, a partir de 2012, los bancos dejen de fabricar tarjetas con banda magníética. 
Se implementan las "tarjetas inteligentes"

La mayorí­a de los otros paí­ses están cambiando a lo que se conocen como "tarjetas inteligentes" EMV (las siglas vienen de Europa y MasterCard Visa). Las tarjetas inteligentes utilizan varias capas de seguridad, que arrancan con un chip computarizado en cada tarjeta que almacena y transmite información codificada y un identificador único que puede cambiar en cada transacción.

En algunos casos, los titulares de las tarjetas tambiíén ingresan un PIN para autorizar el críédito, así­ como las transacciones de díébito. En 1992, en el primer año posterior a la implementación de las tarjetas inteligentes, el total de píérdidas por fraude cayó a un 50% y la falsificación de tarjetas cayó a un 78%. Otros paí­ses que cambiaron tambiíén vieron una disminución en los fraudes. 
Entonces, ¿por quíé están tan atrasados en EU?

Parece ser una cuestión de dinero. Las píérdidas de los bancos todaví­a no exceden los costos para efectuar un cambio; no obstante, algunos comerciantes afirman que se debe a que a menudo ellos son los que cargan con la mayor parte del costo de los fraudes.

La mayorí­a de las tarjetas limitan la responsabilidad para los consumidores, pero los problemas de tiempo y falta de privacidad pueden ser importantes.

"Nos quedamos rezagados con respecto al resto del mundo en lo que se refiere a protección contra el fraude", afirma Richard Oliver, vicepresidente ejecutivo de la Reserva Federal del Banco de Atlanta y director del Foro de Riesgo de Pagos Federal, un grupo que se concentra en conseguir mejores formas de detectar y reducir fraudes

La falsificación es un negocio importante

El robo de información sobre tarjetas de críédito en EU se lleva a cabo por grupos organizados de ladrones de otros paí­ses.  En especial en Europa Occidental, hay cada vez más foros en lí­nea en el mercado negro para comprar y vender equipos para falsificaciones e información sobre tarjetas de díébito y críédito robadas.

"Las píérdidas anuales son por montos multimillonarios, pero son difí­ciles de corroborar debido a la discreción de la mayorí­a de las instituciones financieras cuando se les pide la cifra de las píérdidas" dijo John Buzzard, ejecutivo de FICO, la empresa de calificación de críédito.

Información de la industria bancaria indica que la falsificación de las tarjetas de díébito va en aumento a medida que los delincuentes se concentran en obtener la información sobre tarjetas de díébito completa con PINs para obtener efectivo más fácilmente.

Aumentaron fraudes en tarjetas de díébito con uso de PIN

"Las cifras que informan algunos bancos norteamericanos muestran que las píérdidas por transacciones fraudulentas con tarjetas de díébito con uso de PINs en las tiendas se han quintuplicado en los últimos cinco años y tambiíén han aumentado en los cajeros automáticos, en la mayor parte de los casos mediante una combinación de falsificaciones y registro de PINs", afirma Avivah Litan, un analista de Gartner Research especialista en detección y prevención de fraudes.

Los surtidores son el objetivo más común de los falsificadores, en especial durante la íépoca de vacaciones, cuando la mayorí­a de los norteamericanos están en las carreteras. Las ranuras falsas pueden insertarse dentro de un surtidor, sin dejar huellas visibles.

Según informes que se brindaron a BankInfoSecurity.com, una publicación de la industria, en el último verano los ataques de los falsificadores en las estaciones de servicio en un condado del norte del estado de la Florida aumentaron tanto que los agentes de policí­a aconsejaron que los consumidores utilicen solamente efectivo para pagar el combustible.

Cada vez más, los sinvergí¼enzas toman como objetivo los cajeros automáticos de las sucursales de los bancos, instalando ranuras falsas en los dispositivos de las puertas, por donde los clientes pasan las tarjetas para ingresar. Shelby Shearer, un detective de la policí­a de Bellevue, Washington, dice que la falsificación en los cajeros automáticos se disparó en los últimos ocho meses, causando píérdidas por más de $300,000 en los suburbios del este de Seattle.

¿Cómo obtienen los PIN?

Para obtener los PINs, muchas veces los ladrones sujetan un teclado que captura el número mientras se lo ingresa, pero más a menudo instalan una cámara de video apuntando al teclado sobre el que carga la clave, dice Kenneth Jenkins, una gente especial a cargo de la división de investigaciones criminales del Servicio Secreto.

Afirma que una investigación reciente sobre un grupo falsificador de Europa Oriental terminó con la detención de 175 personas involucradas en la falsificación en cajeros automáticos en Connecticut, Nueva York, Nueva Jersey y Pensilvania.

Los delincuentes pueden usar la información falsificada para crear una tarjeta falsificada para extraer de un cajero automático la cantidad máxima permitida de cada cuenta. Por lo general, los emisores de las tarjetas no cubren a los consumidores por el uso fraudulento de tarjetas de críédito y díébito.

Sin embargo, las ví­ctimas de falsificaciones de tarjetas de díébito pueden enfrentar dificultades porque no cuentan con el efectivo mientras dure la investigación, que muchas veces tarda varias semanas, afirma el Inspector Gregory Antonsen, oficial al mando de la Fuerza de Trabajo de Delitos Financieros del Departamento de Policí­a de la Ciudad de Nueva York.

Venta entre delincuentes de información

Y los robos tienen varias ví­ctimas. En diciembre de 2010, en Butte, Mont, por lo menos 300 ví­ctimas de fraudes informaron cargos no autorizados en sus tarjetas, la mayorí­a con tarjetas de díébito. Entre las ví­ctimas habí­a un sheriff local.

Durante seis a ocho meses, en un comercio libre de sospecha, un cajero registró información falsificada de las tarjetas que se pasaron. Las autoridades dicen que la información se vendió a otros delincuentes para utilizar las tarjetas falsificadas en los cargos de las ví­ctimas de Butle iba desde $500 a $1000.

"Recomendamos a varias de las instituciones financieras más importantes que el elemento disuasivo para los falsificadores serí­a usar el tipo de tarjetas que se emiten en Europa y Canadá con un chip que los hace casi imposible de falsificar, pero, hasta ahora, parece que no quisieran hacerlo", afirma Antonsen, de la NYPD.

Altos costos para cambiar a tarjetas más seguras

Los norteamericanos todaví­a reciben tarjetas magníéticas porque los bancos y otras instituciones financieras de la industria de las tarjetas alegan que las píérdidas por fraude en EU no han sido lo suficientemente altas como para justificar los costos que implicarí­a cambiar a la tecnologí­a EMV, con chips inteligentes.

Según un informe reciente emitido por George Peabody, analista principal de Mercator Advisory Group, consultores de la industria bancaria y de pagos.

El reemplazo de todas las tarjetas de pago de EU podrí­a obligar a que los emisores gasten alrededor de $2,850 millones, más $310 millones para actualizar los cajeros y que acepten las tarjetas nuevas.

En el caso de los comerciantes, se estima que el remplazo de las terminales de venta podrí­a costar hasta $2,640 millones. Pero muchos de los comercios más importantes del paí­s, tales como Kroger, McDonalds, Sears y Walgreens presionan para lograr una actualización similar a la de EMV. Y unos pocos, como Best Buy, Home Depot y Wal-Mart están en el proceso de instalar terminales que lean chips de contacto y, en algunos casos, sin contacto y con tecnologí­a de PIN, dice Oliver.

El informe de Mercator calcula que las píérdidas totales de los emisores de tarjetas por fraudes con tarjetas de díébito y críédito rondan los $2,400 millones. Esta cifra no incluye las píérdidas absorbidas por los comerciantes, lo que aumentarí­a la cifra a decenas de miles de millones anuales.

A menudo, los comerciantes deben absorber las píérdidas por las transacciones fraudulentas realizadas por correo, telíéfono y por Internet y, por lo general, los emisores de las tarjetas so los que absorben el golpe financiero por las transacciones fraudulentas que se llevan a cabo en persona en los comercios. Pero los comerciantes informan que a menudo los bancos les cobran esas píérdidas.

A pesar de la vulnerabilidad de las tarjetas con bandas magníéticas, los emisores de tarjetas afirman que desarrollaron míétodos efectivos para luchar contra el fraude. “Utilizamos sistemas sofisticados para controlar y detector las actividades fraudulentas y empleamos a más de 1000 personas para proteger a nuestros clientes contra los fraudes”, afirma Paul Hartwick, vocero de Chase Card Services. Visa dice que posee un sistema avanzado que detecta los fraudes en tiempo real.

¿Un cambio de opinión?

Cuando la Junta de la Reserva Federal analizó las transacciones fraudulentas con tarjeta de díébito ocurridas durante 2009, descubrió que los comerciantes absorbieron el 43% de todas las píérdidas informadas por los emisores de las tarjetas de críédito. En el caso de las píérdidas por tarjetas de críédito, los comerciantes terminaron absorbiendo más de la mitad de las píérdidas provocadas por transacciones fraudulentas, comenta Doug Kantor, abogado de la Coalición de Comerciantes para Pagos , un grupo de comerciantes que representa a restaurantes, supermercado, gasolineras, tiendas y otros comercios.

"Si los emisores de las tarjetas pueden hacer que los comerciantes absorban la mitad de sus píérdidas, además de pagarles una suma por cada transacción que supuestamente ayuda a cubrir los costos relacionados con fraudes", dice Kantor, "¿por quíé deberí­an preocuparse por invertir en nuevas tecnologí­as para protegerse contra los fraudes?"

Pero quizás las cosas estíén cambiando. La Alianza para Tarjetas Inteligentes, un grupo de empresarios de la industria, emitió un informe sobre EMV, desarrollado con un grupo de empresas, incluyendo American Express, Capital One y Chase Card Services. El informe indica que “a pesar del enorme tamaño de la industria de pagos norteamericana hace que el cambio generalizado sea costoso y difí­cil, el costo verdadero del fraude va en aumento y amenaza con dañar la reputación de la industria”. Dice que el daño "podrí­a acelerarse a medida que los delincuentes pasan a EU como el eslabón más díébil".

La adopción del estándar de chip inteligente tambiíén podrí­a ofrecer una base más segura para los pagos móviles con smartphones, ya que los analistas esperan que reemplacen a las tarjetas de plástico como forma de pago. Y se sugirió que un mandato federal puede ser lo que se precise para el cambio.

Ya existe un incentivo para atraer a los bancos y a las cooperativas de críéditos para dejar de emitir las tarjetas de díébito con banda magníética. En diciembre de 2010, la Reserva Federal propuso normas debatidas con vehemencia para limitar los gastos que los comerciantes pagan a los emisores por las transacciones con tarjeta de díébito, dice Peabody, el analista de Mercator. Las nuevas normas son atacadas ferozmente por los bancos y recortarí­an los cargos de un promedio de 44 centavos a un máximo de 12 centavos por transacción. Pero la legislación para reformar las tarjetas tambiíén le brinda a la Reserva Federal la opción de permitir gastos más altos para los emisores de tarjeras que adopten estándares de tecnologí­a antifraude establecidos por la Reserva.

Por supuesto que ninguna forma de seguridad informática es infalible. En febrero de 2010, investigadores de la Universidad de Cambridge descubrieron una vulnerabilidad en las tarjetas inteligentes EMV, que podrí­an permitir que un delincuente con ciertos equipos electrónicos para efectuar compras usando una tarjeta inteligente robada sin contar con el PIN correcto, a pesar de que Litan de Gartner diga que serí­a relativamente sencillo protegerse contra el míétodo de ataque.

Pero exponer los potenciales defectos y corregirlos es una parte importante para asegurar que cualquier sistema de seguridad que se utilice para salvaguardar la información financiera de los consumidores estíé en continua evolución para llevar la delantera con respecto a los últimos ardides que los delincuentes desarrollan para descifrarlos.

"No podemos trabajar 8 horas por dí­a cuando los ladrones trabajan las 24 horas del dí­a, los 7 dí­as de la semana", dice Oliver, de la Reserva Federal.