Así funciona el shimming y así puedes evitarlo

El shimming es una técnica maliciosa que permite a los delincuentes robar los datos de los microchips EMV de las tarjetas bancarias para crear tarjetas fraudulentas

Si hay un sector económico que ha estado siempre en el punto de mira de los ciberdelincuentes ese es, sin duda alguna, el bancario. ¿Por qué? Los ataques contra las entidades financieras y sus clientes reportan beneficios económicos directos. Por eso, los actores maliciosos han diseñado y evolucionado técnicas, tácticas y procedimientos para adaptarse a los cambios tecnológicos y subvertir las medidas defensivas de las compañías bancarias.

De tal forma que, actualmente, conviven diversas técnicas de fraudes bancarios como el skimming, el shimming o el uso combinado de ingeniería social y malware para acceder a las cuentas bancarias. Como consecuencia de todo ello, los fraudes bancarios generan año tras año cuantiosos problemas a las entidades bancarias y suponen uno de los grandes desafíos del sector financiero.

A continuación, vamos a abordar las claves shimming, una técnica que combina el uso de hardware y software para crear tarjetas de crédito o débito fraudulentas y llevar a cabo operaciones financieras ilegítimas. Además, desgranaremos las medidas que pueden implementar las compañías bancarias y sus clientes para evitar esta clase de fraudes.

¿Qué es el shimming?

El shimming es un tipo de técnica de fraude bancario que afecta a las tarjetas de crédito y débito que disponen de microchip EMV. Su origen guarda relación con el skimming, una técnica que se usó durante lustros para clonar la información incluida en la banda magnética de las tarjetas cuando estas se introducían en la ranura de un cajero automático.

Sin embargo, el shimming no busca la información de la banda magnética, una tecnología en desuso, sino del microchip EMV que tienen algunas tarjetas, de tal forma que el shimming permite la recopilación de las operaciones realizadas desde un lector hacia el chip de la tarjeta. La información recopilada incluye datos que podrían utilizarse después para crear tarjetas magnéticas fraudulentas.

¿Cuál es la probabilidad de éxito de los ataques de shimming hoy en día? Es fundamental tener en cuenta dos factores:

• La eficacia de los mecanismos de seguridad aplicados en la operativa EMV implementada en la tarjeta
• Los procesos seguros de verificación de transacciones de las entidades bancarias

¿Qué operativa siguen los delincuentes para realizar ataques de shimming?

Los ataques de shimming se ejecutan a través de tres pasos o fases básicas:

1. Los delincuentes insertan un pequeño dispositivo en la ranura de un POS (point of sale), datáfono o cajero automático que permite la lectura y retransmisión. De ahí que se traten de ataques en los que no solo se diseña software, sino que es necesario disponer del hardware necesario para leer los datos del microchip EMV.
2. Las víctimas introducen sus tarjetas de crédito o débito en las ranuras de:
   • Cajeros automáticos situados en zonas pocos transitadas o lejos de oficinas bancarias.
   • Equipos de pago localizados en espacios exteriores: parquímetros, máquinas de vending…
3. Los atacantes emplean la información recopilada por el dispositivo malicioso para crear tarjetas magnéticas fraudulentas con las que poder sacar dinero en cajeros o realizar compras.

¿Qué pueden hacer los ciudadanos para evitar ser víctimas del shimming?

Aunque pueda resultar una evidencia, la mejor forma de prevenir los fraudes de shimming es no introduciendo nuestras tarjetas de crédito o débito en ningún cajero o dispositivo de cobro.

Por suerte, en los últimos años se ha expandido la tecnología contactless. De tal forma que, hoy en día, es posible realizar pagos sin tener que introducir nuestra tarjeta. En este sentido, es recomendable llevar a cabo los pagos contactless mediante las aplicaciones mobile wallet (Apple Pay, Google Pay, Samsung Pay…), ya que estas apps que podemos instalar en nuestros smartphones cuentan con protocolos de seguridad sólidos para prevenir los fraudes.

¿Qué sucede si no es posible el pago contactless? Se puede optar por medidas de prevención adicionales como:

• Pagar siempre dentro de un establecimiento comercial o sacar dinero de cajeros automáticos que dispongan de sistemas de videovigilancia para evitar que los actores maliciosos instalen los dispositivos que permiten realizar el shimming.
• Utilizar cajeros automáticos confiables de entidades bancarias reconocidas.
• Verificar las ranuras de introducción de tarjetas en los cajeros o dispositivos de pago para comprobar in situ que no han sido manipulados ¿Qué acciones se deben realizar dentro de esta labor de comprobación?
  • Proceder a introducir la tarjeta y si se detecta que es necesario emplear demasiado esfuerzo para insertarla, es posible que la ranura haya sido manipulada.
  • Observar la ranura de introducción de la tarjeta para asegurarse de que no se encuentre desalineada.
  • Verificar si existe algún elemento bloqueando la ranura de inserción.
  • Buscar cualquier anomalía o elemento inusual en el componente de inserción de tarjetas.

Si un ciudadano cree que ha sido víctima de shimming, ¿qué debe hacer?

Pasemos de la prevención a la respuesta ante fraudes de shimming. Si a pesar de las medidas que venimos de desgranar, un ciudadano es víctima de esta clase de ataques debe:

• Ponerse en contacto de manera inmediata con la entidad emisora de la tarjeta para que se invalide lo antes posible y evitar que los delincuentes puedan sustraerle grandes cantidades de dinero.
• Acudir a la policía a denunciar el fraude, de cara a que las fuerzas de seguridad se pongan a investigar el delito y, además, para posibilitar la devolución del dinero que le haya sido robado.

Adicionalmente, como medida preventiva, es siempre recomendable revisar periódicamente las operaciones bancarias que realizamos. ¿Por qué? De esta forma podemos identificar posibles transacciones no reconocidas que han sido realizadas con una tarjeta de nuestra propiedad.

¿Qué medidas de ciberseguridad deben implementar las entidades financieras para combatir el shimming?

Las tarjetas de crédito y débito son cada vez más sofisticadas y las medidas de seguridad para protegerlas frente a ataques de shimming o de skimming son mayores. Sin embargo, estos ataques se siguen produciendo. Por ello, es importante que las entidades financieras procedan a:

• Generar firmas en datos transaccionales no estáticos en el caso de pagos EMV.
• Garantizar que el ICVC (Integrated Card Validation Code) definido en el chip EMV difiere del valor CVC1/CVV1 definido en la banda magnética.
• Realizar la validación segura de las transacciones que se llevan a cabo con tarjeta, verificando la obligatoriedad y exactitud de todos los datos requeridos especialmente en pagos realizados con banda magnética. Más si tenemos en cuenta que se ha constatado en el pasado que ciertas entidades no realizaban una validación del valor CVV1.
• Recurrir a especialistas en ciberseguridad que diseñen y ejecuten auditorías técnicas para verificar la posible exposición ante ataques de shimming.

Además, debemos tener en cuenta que las entidades financieras están sometidas a una regulación cada vez más exigente en materia de ciberseguridad, como demuestra la aprobación del reglamento DORA que busca fortalecer la ciberresiliencia del sector financiero europeo. De ahí que adquiera una gran relevancia contratar servicios de ciberseguridad avanzados como una auditoría de seguridad de entornos bancarios.