20 Septiembre 2001

Seguridad en Tarjetas de Crédito -Visa-

By, KeRuBiN www.kerubin.galeon.com

1. disclaimer

La información que contiene este texto, fue preparado con el fin netamente informativo y educativo. El hecho de que alguien use mal esta edicion, no es responsabilidad de 70 Semanas, KeRuBiN, o de quien desee incluirlo en sus Sitios Web. La idea de realizar este documento es prevenir a los usuarios de tarjetas de crédito sobre las vulnerabilidades del sistema. Si te queres mandar cualquiera con esto y quedas pegado, es tu responsabilidad.

2. copyright

Ya todos saben como se manejan los derechos de autor, simplemente autorizo incluir este texto en los sitios que quieran, siempre y cuando "no modifique" absolutamente nada de lo escrito aquí y siempre citen la fuente.

3. introducción

Les voy a mostrar como trabaja una tarjeta de credito:

¿Cómo se clasifican las tarjetas de crédito?

Las tarjetas de crédito se clasifican según distintos criterios:

el tipo de titular
tarjetas individuales
tarjetas corporativas o empresariales
tarjetas industriales
según la funcionalidad del producto
tarjetas de compra
tarjetas de compra y crédito
tarjetas múltiples (compra, crédito y débito)
según la cobertura geográfica o regionalización
tarjetas internacionales
tarjetas nacionales
tarjetas regionales
según los servicios o los límites de compra
Clásicas
Gold
Platinum

1. Tipo de titular

Las tarjetas individuales son personales e intransferibles y el único autorizado a utilizarlas es el titular.

Las tarjetas corporativas o empresariales cubren las necesidades del personal de las empresas. En este caso el sujeto del crédito es la empresa y sus empleados son los titulares autorizados.

Las tarjetas industriales dan seguridad a las operaciones de compras institucionales que efectúan las empresas a proveedores de distintos insumos. Un ejemplo de estas tarjetas es la emitida por el Banco de la Nación Argentina llamada Agronación que está orientada a financiar insumos de establecimientos agropecuarios.

2. Funcionalidad del producto
La tarjeta de compra suplanta momentáneamente al efectivo, al vencimiento del resumen de cuenta tenés que pagar la totalidad de tus compras. La función de crédito es transitoria.

La tarjeta de compra y crédito le suma a la anterior la posibilidad de financiar los consumos. El poseedor, sólo está obligado a pagar parte de sus compras, el llamado monto mínimo, y puede financiar el monto restante según lo pactado con el emisor.

La tarjeta múltiple reúne las funciones de compra, crédito y débito. Incluye la posibilidad de utilizar los cajeros automáticos y otras terminales electrónicas. Por medio de esta tarjeta podés, con la función de débito, girar contra el límite de compra de tu tarjeta, retirando adelantos en efectivo de los cajeros automáticos, o contra fondos disponibles en tu cuenta corriente o caja de ahorro.

3. Cobertura geográfica
Las tarjetas internacionales pueden utilizarse en todos los países en que la marca tenga presencia. En nuestro país, pertenecen a este grupo American Express, Diners, Visa y Mastercard.

Las tarjetas nacionales tienen cobertura en todo el territorio nacional. Pertenecen a este sector marcas tales como Cabal, Carta Credencial, Carta Franca, Líder, Visa Nacional y Mastercard Nacional. Estas dos últimas en su acepción de producto exclusivamente nacional.

Las tarjetas regionales: a este subgrupo pertenece una gran cantidad de tarjetas emitidas por distintas empresas de localidades del interior del país y que, por lo general, cubren un reducido territorio.

4. Servicios y los límites de compra

Las tarjetas de crédito se clasifican en Clásicas, Gold y Platinum. Estas dos últimas poseen mayores beneficios que una tarjeta clásica en cuanto a:
los servicios otorgados a sus usuarios, como por ejemplo: acceso a salones VIP en Aerpuertos, seguro sin costo para alquiler de automóviles en el exterior, servicios telefónicos exclusivos para socios de este tipo de tarjetas, etc.

Los límites de compra son superiores a los de las tarjetas clásicas o, en algunos casos ilimitados.

(tnx dineronet.com por el aporte)

4. desarrollo

Algo que me ha llamado la atención es la confianza de los usuarios de tarjetas de crédito en sus respectivas compañías. Hay varios puntos que voy a remarcar para prevención.

Primero, para autorizar cualquier tipo de operación necesitamos (en Argentina) los 16 números de la tarjeta, la fecha de vencimiento y el pin o código de seguridad que esta en la parte de atrás del plástico a la derecha de la firma. Osea tres datos de los cuales uno es secreto aun para el personal bancario. Bien, pero esto es solo para nuestro país, notara que para comprar algún libro por ejemplo en otro país como USA, no necesita el pin (que es el dato secreto que tienen las tarjetas), lo que hace mucho mas fácil el hecho que alguien pueda cometer fraude con nuestra tarjeta de crédito.

Segundo, mas fácil es todavía cuando se puede saber los datos del titular de la tarjeta y los montos que maneja la misma. Los medios para conocer estos datos no es algo difícil, por el contrario puede llegar a ser algo relativamente fácil para alguien con conocimientos o con la ayuda de bases de datos como las que se vende en la calle. Por ejemplo, sin saber absolutamente nada del titular, un hacker podría conocer el monto solo con tener los 16 números de la tarjeta, llamando al numero de VISA, lo atenderá una computadora pidiendo los números, si una ves tipeados nos da el monto, es porque es menor de 1000 pesos, pero si nos pide clave es porque tiene mas. De todas formas, si nos pide clave, viene una gravísima vulnerabilidad de VISA... es la fecha de nacimiento del titular (dia-mes). Cuidado, esta clave no es el numero de pin! sino una clave privada para control o administracion de la misma, no para autorizar compras. Una ves dentro podrían saber cuanto tiene disponible, si es o no internacional, los últimos movimientos, etc. Para conocer los datos, se venden en la calle unas bases de datos, como por ejemplo la de obras sociales que contienen todos los datos de titulares de tarjetas de credito.

Tercero, también es fácil deducir cuanto tiene disponible o que tipo de tarjeta es solo mirando los numeros: por ejemplo,

4575 9600 0062 6524

No voy a entrar en detalles de los números, pero si puedo decir que los primeros 4 números demuestran que tipo de tarjeta es, de que banco, los segundos cuatro números nos demuestran de que sucursal pertenece la tarjeta y lo mas importante son los terceros cuatros números que demuestran aproximadamente cuando tiene de fondos dicha tarjeta.

Si cuando empiezan el tercer grupo de cuatro números tiene un cero (0) tiene un fondo de hasta 2000 dólares aprox. Si tiene dos ceros (00) tiene hasta 5000 dólares, y así sucesivamente. Ahi te das cuenta si es clasica, Gold, etc.

Lo que les explique, es para entender algunas fallas del sistema, pero igualmente el echo que nos saquen los datos de nuestra tarjeta puede ser un error humano o logico (dependiendo del sistema operativo que usemos hehehe) Con esto quiero decir que no guardes datos importantes en tu pc, direcciones, telefonos, dni, etc. La razon? Sistemas operativos como Windows tienen muchas vulnerabilidades, es mas el hecho que instales el sistema operativo ya hace que tengas puertos abiertos en tu pc por lo que podrian acceder terceros. Visita y fijate si tenes puertos abiertos.

Tenes que tener cuidado tambien con los archivos adjuntos en los mails porque podrian ser troyanos que permiten el acceso remoto a tu pc. Por ultimo, saca los spywares que tiene tu maquina (vienen en los programas gratuitos) que te logean informacion. Todo esto lo digo en caso que tengas en tu pc datos de tu tarjeta de credito, cuentas bancarias, etc. Te cuento una ilustracion, una persona te envia un mail con un archivo adjunto, vos lo ejecutas y te infectas con un troyano. El atacante entra a tu pc, te saca los datos de tu tarjeta, desde tu pc se dirije a un site de ventas on line, te gasta 2000 dolares en una notebook, y encima queda registrado tu ip (tu identificacion en internet) asi que tenes que pagar! Tenes que hacerlo porque queda registrado tu IP, que una ves consultado el servidor, les da el numero de telefono desde donde se llevo a cavo la operacion, al ser el de tu casa, no tenes escapatoria.

Ahora, si tenes la pc protejida, solo te resta tener cuidado con los negocios, o tiendas que lamentablemente son complices de personas que duplican tarjetas de credito, abajo te voy a dar unas recomendaciones al respecto. Fuera de esto, les digo a los usuarios de tarjetas que no te preocupes por los programitas que andan dando vuelta por ahi que, no digo que no sirven, sino que nunca van a generar "tu" tarjeta. Que algo quede claro: Los bancos autorizan por los numeros, pero los SSL comprueban los datos del titular por lo que, si son incorrectos, en muchos sitios no van a poder comprar. Por Ej. con un dato de tarjeta podras comprar un adultcheck aunque le mandes cualquier nombre, pero no registrar un soft que te pide los datos verdaderos.

¿Para que quieren datos de tarjeta de credito? Si el monto es grande, para hacer tarjetas mellisas, sino es muy grande, pagan telefonos, SKY vende telefonicamente con tarjeta, ventas en line en internet, etc.

Recomendaciones:

Bueno, primero, quiero que quede claro que tampoco tenes que andar con una 9mm a la cintura por el hecho que tenes tarjeta de crédito, pero si podes tomar una serie de recomendaciones para proteger la misma.

Para los usuarios:

1. No uses cupones. Es una de las formas que mas fraudes se realizan, Si el posnet no anda, compra en otro lado, pero no los uses.

2. La clave para acceder a la tarjeta (que es día-mes de tu nacimiento) cambiala urgente!

3. Si llama alguien haciéndose pasar lo regalos empresariales o cualquier otra empresa que solicita tu fecha de nacimiento para enviarte un regalo. Por favor no se lo des. Igualmente no creo que alguien llame pare regalarte una casa, un auto y 50 lucas ;)

4. No entregues el plástico en restaurantes cuando salgas a comer con tu esposa o amante. Generalmente no queremos pasar por súper desconfiados y así nos matan la tarjeta.

5. Si no me hiciste caso y compras con cupones en algún local, que lo haga delante tuyo, porque muchos tienen por costumbre llevarlos a un cuarto aparte y te duplican la tarjeta, osea, no ponen un juego de hojas del banco, sino varias.

6. Trata de usar la tarjeta en los mismos negocios, porque en caso que tengas un problema ya sabes de donde se ocasiona.

7. Controla los movimientos periódicamente para saber si alguien te esta usando la tarjeta.

8. Si te sacaron los datos de tu tarjeta y te llega el resumen, NO LO PAGUES, para eso tenes un seguro de $4 por mes que pagas. Inmediatamente dirijite al banco emisor de la tarjeta denunciando el hecho.

Para los comerciantes:

1. Siempre fijate el holograma de VISA, si tiene impreso algo sobre el, es trucha.

2. La fecha de emision y vencimiento tiene que comenzar justo debajo de los segundos cuatro numeros que tiene la tarjeta.

3. Si el cupon esta doblado, demostrando que fue echo a mano, ya miralo con desconfianza.

4. Directamente no aceptes cupones, si no anda la banda, tipea vos el posnet y que salga la factura larga en blanco e imprimila vos ahi.

5. Pedi DNI siempre al efectuar operaciones.

En el punto 4 cabe también para las estaciones de servicio, generalmente vos te quedas en el auto y ellos van hasta el mostrador para hacer el cupón, hay grandes posibilidades que ahí te saquen los datos. Los lugares que mas hacen esto son: estaciones de servicio, restaurantes. También se usa mucho el fraude con tarjetas de crédito en las compañías telefónicas, por lo que te aconsejo que no dejes cupones en locales no oficiales de compañías telefónicas! Si no tenes pensado comprar teléfonos con tarjeta, anula la misma para operaciones concernientes a ese tema, se roban muchos datos de tarjetas de crédito para realizar operaciones de telefonía.

5. conclusion

Bueno, espero no haberlos asustado, pero podemos notar que es relativamente fácil cometer acciones fraudulentas con las tarjetas de créditos. Por favor usuarios, controlen sus tarjetas, cambien las contraseñas. Los que tengan negocios tengan mucho cuidado con las tarjetas truchas. He notado que algunas de las truchas no tienen la V del latin original, sino en español, pueden tenerlo presente, tambien note que algunas truchas tienen impresiones sobre el holograma de Visa que es la paloma. Por ultimo, me di cuenta que el papel donde va la firma en la parte de atras no estan bien impresos. Ojala que este pequeño vistaso sobre los plasticos adulterados les sirva. Conozco casos de negocios que les dieron tarjetas mellisas por el monto de mas de 15.000 dolares.

Los comerciantes que quieran un asesoramiento sobre reconocimiento de tarjetas de credito mellizas y copones impresos, envienme mails, la direccion esta en la pagina.

Fin.

Escrito por KeRuBiN para 70 Semanas. Rosario, 10/09/01