Por Rodrigo E. Bionda (*)

Especial para El Tiempo

Cada vez es más frecuente detectar cargos generados por el uso de tarjetas de crédito producto de transacciones que el usuario nunca ha realizado, por lo general por importes que no son muy significativos -oscilan entre los cincuenta y los doscientos dólares- en espacios temporales relativamente aislados a fin de no generar alertas.

Por ello se denomina carding a un conjunto de delitos cometidos mediante el uso de las tarjetas de crédito; haciéndose un uso desviado de dicho recurso crediticio producto de la obtención ilegítima de los datos del plástico y de sus titulares.

Según un reciente informe de Banco Central de la República Argentina, en nuestro país existen 6.012.039 titulares de tarjetas de crédito, habiéndose emitido 10.208.989 tarjetas de crédito y -nada menos- que 30.561.763 tarjetas de débito; brindando el contexto ideal para este tipo de delitos, producto del volumen de transacciones que se llevan a cabo en ecosistemas digitales, mediante la utilización de la referida herramienta crediticia y permitiendo avizorar el altísimo riesgo que se corre de ser víctima de algún delito contra la propiedad.

Son muy frecuentes y variados los delitos que suelen perpetrarse producto del uso de tarjetas de crédito, además que las estrategias delictivas van variando junto con la evolución de las tecnologías, de ahí a que sea casi imposible enumerarlos y -mucho más difícil aún- investigarlos, perseguirlos y lograr que sus autores sean condenados.

En términos generales, hay dos modalidades principales de comisión de delitos de esta naturaleza; los conocidos como delitos de "tarjeta no presente" y los de "tarjeta presente".

La diferencia radica en que los ciberdelincuentes cuentan con diferentes métodos y estrategias muy variadas para hacerse con información de tarjetas de crédito para cometer sus estafas. Alguno de ellas son el robo de billeteras, skimmers o clonadores de tarjetas y lectores de banda magnética en cajeros automáticos y locales comerciales. En otras ocasiones, recurren a las estafas telefónicas o al envío de correos electrónicos y mensajes de phishing. Otra alternativa, es el robo de información a través de redes WiFi públicas, el sembrado de software malicioso en sitios web, la filtración de datos y violaciones de seguridad o -directamente- adquiriendo listas de números de tarjetas de crédito en la dark web.

La primera variante de delitos cometidos mediante lo que se denomina tarjeta no presente, es el tipo más común y ocurre cuando la información del titular de la cuenta de banco es captada y utilizada ilegalmente sin la presencia física de la tarjeta. Esto se logra mediante la suplantación de identidad o phishing o recurriendo a técnicas como el shoulder surfing, que consiste en apoyarse en cámaras o reflejos de espejos colocados cerca de zonas habituales de pagos -cajeros o servicios de autopago- y así obtener los datos necesarios para celebrar transacciones a distancia; aunque en algunos casos también, los datos se obtienen producto de las escasas medidas de seguridad adoptadas por las tiendas on line.

Este tipo de estafas pueden evitarse. Para ello, debemos seguir las siguientes reglas de oro: nunca hacer clic en enlaces de correos electrónicos en los que se requiera información personal, incluso si el remitente parece ser su propio banco; antes de comprar en línea algún producto de una empresa desconocida, buscar en internet el nombre del vendedor, para determinar si la opinión de los consumidores ha sido positiva. Al realizar pagos en línea, comprobar que la dirección de la página web comience con "https://" que constituye un protocolo de comunicación para la transferencia segura de datos. Verificar que la página web no contiene errores gramaticales o palabras extrañas, pues eso sugiere que puede ser falsa, diseñada únicamente para robar datos financieros.

De igual modo, es posible verifica que la web no es peligrosa antes de insertar los datos de tu tarjeta de crédito, ya que existen páginas web como Unshorten o Wois que permiten comprobar si es un sitio seguro. No obstante ello, no es conveniente dejar almacenados los datos de pago en comercios online. Si la tienda sufre una brecha de ciberseguridad, obtiene sus datos los delincuentes. Actualizar siempre los dispositivos móviles. No entregar la tarjeta a nadie -por lo general, personal de atención al público- para realizar el pago en los comercios, hágalo usted mismo.

La segunda alternativa -denominada de tarjeta presente- se materializa cuando un vendedor pasa la tarjeta por un dispositivo que almacena su información y luego la utiliza para cargarle otras compras no realizadas; modalidad que también es bastante frecuente.

Las empresas procesadoras de pagos como Visa o Mastercard asumen que este tipo de fraude está implícito en la misma industria, es importante tener en cuenta que si su número de tarjeta ha sido utilizado de forma fraudulenta, el titular se encuentra protegido y puede pedir al banco que anule el monto a pagar. La Ley nacional de Tarjetas de Crédito garantiza la devolución de los cargos desconocidos, aunque el banco realizará una investigación sobre la transacción en cuestión.

Ahora bien, es razonable pensar que si una tarjeta de crédito no sale del hogar y tampoco se la utiliza para comprar en la web, no debería estar expuesta al riesgo de caer en manos de los estafadores. Entonces, ¿cómo es posible que alguien igualmente la utilice para abonar diferentes consumos? ¿Acaso alguien puede "adivinar" el número de nuestra tarjeta de crédito?

Cada tarjeta se individualiza mediante un BIN por su sigla en ingles -Bank Identification Number- que es la manera en la que un Banco organiza la numeración de su tarjetas. Un error frecuente de los usuarios es pensar que cada tarjeta individual tiene un BIN distinto, ello es inexacto puesto que se generan bastantes tarjetas a partir del mismo BIN.

En efecto, el mecanismo o la secuencia lógica para generar los números PAN -Personal Account Number- que identifican a las tarjetas de crédito siguen una estructura regular y conocida. Los primeros seis números de una tarjeta identifican al banco y a la empresa que la emitió, los nueve números siguientes se establecen según un algoritmo estándar y el último número es el llamado "dígito de control". Este número verifica la integridad de los números que están a la izquierda a partir de una fórmula llamada "Algoritmo de Luhn", creada por el científico de IBM Hans Peter Luhn en 1954.

Por caso, Visa es una empresa emisora de tarjetas y todos sus plásticos comienzan con el número Cuatro, mientras que Mastercard -rival de Visa- inicia todas sus tarjetas con el número Cinco. Por otra parte, American Express, que también es una emisora de tarjetas de alta gama, comienza todas sus tarjetas con el número tres.

Finalmente, la secuencia de seguridad cierra con el número de verificación de la tarjeta o CCV -Card Validación Value- que consiste en una contraseña ubicada al reverso de las tarjetas y es un sinónimo de pin que habitualmente consiste en tres dígitos.

A fin de robustecer la seguridad del recurso empleado, al PAN -esto es, el número de la tarjeta- se le agrega un número de fecha de vencimiento y un CVV -recordemos, el código de seguridad que está en la parte trasera- que son solo tres dígitos; aunque usualmente, el CVV se adivina mediante prueba y error, o como se denomina en seguridad informática: "fuerza bruta"; aunque en ocasiones con fuerza no tan bruta.

Cabe recordar aquí el caso de Fernando Falsetti -vaya paradoja-, un canillita de La Matanza, que fuera detenido tras ser acusado de realizar más de un centenar de estafas con tarjetas de crédito. El hacker analógico, había descubierto de manera manual un algoritmo que le permitía generar números de tarjetas de crédito de una misma entidad bancaria y su correspondiente código de seguridad.

Tal es así que recurriendo sólo a la utilización de lápiz, papel y matemáticas; Falsetti logró estafar a una empresa de televisión satelital en más de un millón de pesos, comprando servicios prepagos y luego revendiendolos a otras personas.

El trabajo que el audaz canillita de La Matanza realizaba pacientemente, de modo manual y analógico, habitualmente es ejecutado por un bot. Esto es, un programa que ejecuta tareas automatizadas repetitivas, configurado para que pueda intentar pequeñas compras en una gran lista de sitios online a partir de un número de tarjeta determinado, el bot prueba combinaciones de fechas de vencimiento y CVV hasta dar con un set de datos válidos.

Independientemente de los recaudos que se tomen, este tipo de fraude por "adivinación" es imposible de evitar. Todas las tarjetas de crédito y la gran mayoría de las entidades bancarias cuentan con un servicio de alertas de consumos que envían un correo o mensaje cuando se registra un gasto con alguno de los plásticos. Es imprescindible tenerlo activado para advertir una estafa en marcha antes de que se convierta en un desastre financiero.

En el ocaso de este pequeño aporte, pergeñado en las vísperas de nochebuena, no queríamos dejar pasar la oportunidad de advertir que la navegación frenética por ecosistemas digitales a bordo de un plástico crediticio sin adoptar recaudos, puede subirnos al mástil de un inminente naufragio financiero; mientras, nos regocijamos chocando entre más de cuarenta y cinco millones de campeones del mundo la copa más anhelada durante estos últimos y eternos treinta y seis años: nada menos que la tercera FIFA World Cup.

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.