Un total de 60 millones de tarjetas de crédito estadounidenses se
vieron comprometidas en los últimos 12 meses. A pesar de que el 93 por ciento
de ellas tenían el chip EMV los comerciantes continuaron usando las bandas
magnéticas.
La tecnología de chip y PIN se ha convertido en el estándar
de facto para las transacciones de tarjetas de crédito y débito en persona en
los EE. UU., pero la falta de homogeneidad de los comerciantes con este sistema
significa que millones de tarjetas aún están en peligro.
Las tarjetas de chip, que contienen un microprocesador
incorporado que encripta los datos de la tarjeta, son una alternativa más
segura a las tarjetas de banda magnética, en teoría. También implementan el
estándar EMV, que significa Europay, MasterCard y Visa, que es un estándar global
para la compatibilidad de las tarjetas chip con los terminales de punto de
venta. Se convirtieron en el tipo de tarjeta predeterminado cuando los cuatro
principales emisores de tarjetas de crédito de EE. UU., Visa, MasterCard,
American Express y Discover, decidieron transferir la responsabilidad del
fraude de tarjetas de pago a los comerciantes en 2015, si no tienen un sistema
de pago EMV.
La realidad, según un estudio de Gemini Advisory basado en
datos de telemetría recopilados de varias fuentes de Dark-Web, es que 60
millones de tarjetas de EE. UU. Se vieron comprometidas en los últimos 12
meses. De ellos, el 93 por ciento estaban habilitados para chips EMV.
Además, el 75 por ciento, o 45.8 millones, fueron registros
robados de transacciones en persona. Es probable que estos se vieran
comprometidos a través de programas maliciosos de captura de tarjetas y
violaciones de puntos de venta en establecimientos como minoristas, hoteles y
restaurantes. Tanto Chili’s como Cheddar’s Scratch Kitchen, por ejemplo, fueron
el trampolín para las violaciones de datos de tarjetas de pago a principios de
este año.
En los últimos 12 meses, aproximadamente 15,9 millones de
tarjetas de pago no estadounidenses comprometidas se pusieron a la venta en la Dark
Web, divididas entre 11,3 millones de registros de tarjetas no presentes
(transacción en línea) y 4,6 millones de registros de tarjetas presentes, de
los cuales 4,3 millones tenían chip EMV habilitado. Esto significa que el nivel
de robo de datos de tarjetas habilitados para EMV en los EE. UU. Es del 868 por
ciento más alto que todo el resto del mundo.
Los grupos de amenazas con motivaciones financieras como la
notoria pandilla FIN7 tienden a comprometer las redes de comerciantes,
encontrando su camino hacia los terminales datáfonos y desplegando malware. Una
vez que el malware identifica los datos de seguimiento de una tarjeta, se
copia, se codifica y, finalmente, se filtra en un servidor de comando y control.
Gemini también dijo que los datos actuales de la tarjeta
«también se recopilan a través de un método más manual por parte de los
grupos de skimmer, que utilizan un hardware personalizado conocido como «shimmers»
para registrar y eliminar datos de cajeros automáticos y datáfonos. Los
«shimmers» se sitúan entre el chip de la tarjeta y el lector de
chips en el cajero automático o datáfono, registrando los datos en el chip a
medida que la máquina subyacente lo lee».