(krebsonsecurity) - Expertos de fraude en México han descubierto un dispositivo inusual de skimming sobre cajeros automáticos el cual se puede insertar en la boca de la ranura de aceptación de la tarjeta del cajero automático y se utiliza para leer directamente los datos de crédito o débito del chip de las tarjetas habilitadas con chip.
El dispositivo se muestra a continuación es un tipo de skimmer conocido como un "shimmer", llamado así por su nombre en ingles, el cual actúa como cuña al encontrarse entre el chip de la tarjeta y el lector de chip en el cajero automático - almacenando los datos del chip, mientras es leído por el cajero automático.
Este dispositivo de 'cuña' está hecho para leer las tarjetas habilitadas con chip y se puede insertar directamente en la ranura de aceptación de tarjetas del cajero automático.
El componente de lectura del chip incluye los ocho cables rectangulares color oro visto en el lado derecho de este dispositivo; la electrónica que permite el almacenamiento de datos en el shimmer se puede ver en color negro en la parte superior de la imagen.
Según la empresa de seguridad de cajeros automáticos 3VR, este dispositivo fue encontrado dentro de un Diebold Opteva 520 con lector Dip (el tipo de lector de tarjetas que pide se inserte brevemente su tarjeta y luego rápidamente quitarla). El dispositivo se inserta desde el exterior del cajero automático y no se requiere el acceso a las partes internas. 3VR no dijo si este shimmer era acompañado por un componente adicional para robar números de PIN de la tarjeta, tales como una cámara oculta o superposición de teclado de PIN.
He aquí un vistazo de como esta cosa se ve mientras está instalada dentro de un lector de cajero automático comprometido (observa cómo los componentes de lectura del chip que se muestran en la primera imagen se obstruyen por el lector de chip del cajero automático):
El dispositivo shimmer, visto en el interior de un cajero automático. Observa cómo los componentes de lectura del chip que se muestran en la primera imagen se obstruyen por el lector de chip del cajero automático.
Las tarjetas equipados con un chip de computadora son más seguras que las tarjetas que se basan únicamente en la banda magnética para almacenar datos de la cuenta. A pesar de que los datos que se almacena típicamente en la banda magnética de una tarjeta se replica dentro del chip de las tarjetas, el chip contiene un componente de seguridad adicional que no se encuentra en una banda magnética.
Una tarjeta de chip. Imagen: First Data
Uno de ellos es un componente conocido como un circuito integrado de valor de verificación de la tarjeta "iCVV" para abreviar. El iCVV difiere del valor de verificación de la tarjeta (CVV) almacenados en la banda magnética física, y brinda protección contra la copia de datos de banda magnética del chip y que estos datos sean usados para la falsificación de tarjetas de banda magnética.
"Esto nos hace pensar que los ladrones planean dirigir su ataque contra un emisor donde saben que el CVV no va a ser revisado", dijo Charlie Harrow, gerente de soluciones de NCR, un fabricante de cajeros automáticos.
Para mayor información sobre skimmers y otro tipo de fraudes sobre cajeros automáticos, revisa nuestra serie de publicaciones relacionadas.
