Respuesta abierta al comunicad de CSIRT en relación a múltiples denuncias de clonación de tarjetas bancarias del 18 de mayo de 2019.

Esta es una respuesta al comunicado que CSIRT liberó en relación a múltiples denuncias de clonación de tarjetas bancarias ocurridas en la Región Metropolitana de Santiago. Esta rápida respuesta de defensa corporativa necesita ser a su vez respondida con argumentos técnicos. El comunicado al que se hace referencia puede ser revisado en el siguiente link: https://lnkd.in/eM7HH5M

Primero, CSIRT indica que no se a encontrado evidencia de que el acto afectó al sistema bancario, sin embargo se equivoca, el cajero automático en el que se realizó el skimming y las tarjetas bancarias efectivamente forman parte del sistema bancario, estos son instalados, mantenidos y operados por los bancos en su conjunto, podemos estar de acuerdo en que no forman parte del core bancario pero al mismo no hay duda que si son parte del sistema bancario, al igual que los POS, la pagina del banco, el site del banco, etc.

Segundo, CSIRT tiene razón acerca de que la técnica de Skimming es una copia o clonación de la información de una tarjeta bancaria. Pero rápidamente de desligan de responsabilidad a los bancos a pesar de que estos han hecho de facilitadores del fraude debido a que si bien ya existen medios seguros para almacenar la información de las tarjetas como los chips, los bancos aún mantienen en operación las bandas magnéticas. Es precisamente esta decisión de mantener las bandas magnéticas operando es que se pueden clonar las tarjetas.

Tercero, como parte del sistema bancario es vulnerable y fue comprometido, no hay forma de que el usuario del mismo pueda sospechar que hubo un fraude.

Cuarto, quien fue defraudado es el banco, veamos la siguiente secuencia de echos:

  • El atacante modifica un cajero bancario, el cual se ubicaba dentro a resguardo en un site del banco, mientras es monitoreado por cámaras del mismo cajero.
  • Durante el uso normal por parte del usuario los datos de la tarjeta bancaria fueron interceptados dentro de este cajero modificado.
  • Con estos datos el atacante suplantó ante el sistema bancario a los usuarios, ayudado por la baja seguridad de la tarjetas con banda magnética.
  • El banco al ser engañado cargó la transacción al usuario.

El banco al enterarse de que fue engañado y que fue un error de su parte cargar la transacción al usuario debió reversar de forma inmediata dichas transacciones, entendemos que no se hizo así y que los bancos intentan desligarse de su responsabilidad y culpar a los usuarios.

Quinto, efectivamente hubo delito informático, el atacante intercepto y se apoderó de la información contenida en las bandas magnéticas de las tarjetas de los usuarios involucrados.

Esperamos que las siguientes respuestas de CSIRT sean mas técnicas y neutras en el futuro

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.