Por Brian Monroe.
Actualmente con un teléfono móvil se puede escanear un código de respuesta rápida (QR) de un producto e inmediatamente emitir el pago desde una cuenta bancaria. También se puede conectar un lector de tarjetas de crédito a su dispositivo móvil para procesar pagos en solo segundos. Estos y otros adelantos son recursos que facilitan el comercio, pero también son medios ideales para estafar a bancos y a particulares.
Varias empresas -incluyendo Square, Inc., LevelUp, Google y Microsoft- permiten a los consumidores enviar y recibir dinero a través de aplicaciones para teléfonos inteligentes y equipos portátiles, tal como lo hacen con las tarjetas de crédito y de débito. Los pagos, que se pueden hacer después de un breve proceso de registro, están relacionados con cuentas bancarias en instituciones, varias de las cuales ya están siendo investigadas en Estados Unidos por transacciones sospechosas.
Pero la facilidad con la que estos productos permiten a los individuos y a las empresas realizar operaciones entre sí ya ha sido aprovechada por delincuentes, como los traficantes humanos, según David Szuchman, el jefe de la Unidad de Crímenes Cibernéticos y Robo de Identidad de la Oficina Fiscal del Condado de Manhattan.
“Estamos empezando a ver cómo estas tecnologías se filtran en lo que los criminales están haciendo”, indicó Szuchman, que califica a las distintas aplicaciones como “innovadoras” para el fraude de pago por dispositivos móviles. “Aún cuando no tenemos un montón de casos como estos, esta área tiene el potencial necesario para convertirse en algo grande”.
Junto con las redes sociales, los dispositivos móviles “son en estos días los verdaderos objetivos de los hackers”, dijo Richard LaMagna, presidente de la empresa consultora LaMagna and Associates, LLC de Washington, DC, y ex subdirector de inteligencia de la Administración de Control de Drogas de Estados Unidos.
Las debilidades de Square
Lanzado en 2009 por el co-fundador de Twitter, Jack Dorsey, Square ofrece a los usuarios dispositivos lectores de tarjetas de crédito y débito gratis, que pueden conectar a los teléfonos inteligentes y a las tabletas para aceptar pagos. La compañía, que también permite a los usuarios enviar tarjetas de regalo Square generadas a través de sus billeteras “manos libres”, ha sido utilizada por dos millones de consumidores para enviar y recibir US$ 6.000 millones de dólares anuales.
Así como los pagos convencionales de tarjetas de crédito, las operaciones están totalmente encriptadas cuando se almacenan o se transmiten a través de redes públicas, de acuerdo con el sitio web de la empresa.
Sin embargo, la tecnología está expuesta al abuso, según Adam Laurie, uno de los fundadores de Aperture Labs, una empresa de investigación de seguridad con sede en Reino Unido.
Dado que los lectores de tarjetas Square se conectan a las tomas de auriculares de los teléfonos inteligentes, los datos se transmiten como si se tratara de un sonido codificado. Aprovechando esto, los estafadores con datos robados de tarjetas de crédito pueden acelerar el uso de la información a través de un software que transmite archivos de transacciones-con-audio a las cuentas bancarias ligadas a los usuarios de Square.
“El problema es que es muy fácil para los estafadores transformar los datos robados de la banda magnética de la tarjeta de crédito en un flujo de audio para que la aplicación Square los considere como si se pasara una tarjeta”, explicó el experto. “Así que usted puede automatizar el proceso de deslizar tarjetas de crédito que en realidad no existen”.
Según Szuchman, las cuentas de Square tampoco son del todo fiables. Potencialmente, las personas que utilizan números robados del Seguro Social, cuentas bancarias offshore y direcciones de correo electrónico pueden entrar a Square y dirigir los fondos de una tarjeta de crédito robada fuera del país antes de que alguien note algo sospechoso.
Aunque Square no respondió a las preguntas enviadas por ACAMSmoneylaundering.com, su sitio web dice que utiliza vigilancia de “visualización riesgo” y algoritmos contra el fraude para detectar transacciones ilegales.
En respuesta a la crítica hechas por un competidor acerca de la seguridad de Square, el director ejecutivo de la compañía, Jack Dorsey, dijo en una carta en marzo que el pago por dispositivos móviles ya no era más vulnerable al fraude, que entregarle una tarjeta de crédito a un camarero en un restaurante.
En conversaciones recientes, varios oficiales de cumplimiento en varios bancos pequeños dijeron haber visto un aumento en el número de clientes que utilizan Square y que estaban tratando de “evaluar cuál es la actividad habitual y normal”, aseveró Carol Van Cleef, una abogada de Patton Boggs con sede en Washington DC, que representa a las empresas del sector.
Intuit GoPayment y PayPal ofrecen lectores de tarjetas similares para teléfonos móviles.
El riesgo de las tarjetas codificadas
Fundada en 2011, LevelUp permite a los usuarios pasar tarjeta de crédito y datos de cuenta corriente en “códigos de respuesta rápida” (QR, por sus iniciales en inglés), un tipo de código de barras que pueden ser leídos por las cámaras de teléfonos inteligentes. En los comercios participantes, los consumidores pueden escanear los códigos QR en el punto de venta y los pagos se debitan directamente desde sus cuentas bancarias. Las personas pueden utilizar también sus teléfonos para buscar otros códigos QR generados por LevelUp.
Pero también LevelUp potencialmente permite a los delincuentes tomar fotos de tarjetas de crédito, una fotocopia de tarjeta de crédito o simplemente un pedazo de papel con un número de tarjeta escrito, y luego convertir esa información robada a los códigos QR que pueden ser escaneados en puntos de venta. Difícilmente los códigos puedan ser cuestionados por los comerciantes, que serían sospechosos de utilizar tarjetas falsificadas, advirtió Szuchman.
La aplicación es vulnerable en particular en los casos en que los hackers inundan el mercado negro con datos robados de tarjetas que pueden ser rápidamente aprovechados para gastos de las instituciones financieras y comerciantes.
“Cuando se elimina la posibilidad de que alguien note que se está usando una tarjeta falsificada, se hace mucho más fácil para cometer un delito, porque sólo hay un componente digital sin necesidad de un componente físico detrás”, dijo Szuchman.
Al igual que Square, la empresa señala en su página web que los datos transaccionales están encriptados y que la información relacionada no se almacena en los teléfonos. También la seguridad se ve aumentada por varios símbolos que coinciden con los códigos QR, según el sitio web de la compañía.
Pagos “manos libres”
El año pasado, Google, Microsoft e Isis, una empresa conjunta entre Verizon Wireless, AT&T y T-Mobile anunciaron planes para lanzar los llamados productos de cartera digital que permiten a los usuarios mover sus teléfonos junto a la Tecnología de Comunicación Inalámbrica (NFC, por sus iniciales en inglés) a los lectores para enviar o recibir dinero.
Los teléfonos que utilizan esta tecnología están “siempre encendidos, para que así la gente pueda tener nuevas formas de transmitir y compartir los datos, pero los dispositivos están también creando formas para enviar o recibir información, lo que es un objetivo obvio para un hacker”, aseveró Chris Morales, un analista en seguridad empresarial de la empresa 451 Research, de Nueva York.
En las demostraciones de tecnología en conferencias de seguridad, las personas han enviado “malware” (software malicioso) a teléfonos a través de dispositivos NFC, precisó Morales. El malware identifica y luego transmite datos bancarios. “Una vez que un hacker introduce un virus en un teléfono, puede decirle que haga lo que quiera”.
Los hackers ya se han aprovechado de dispósitivos NFC utilizados por algunas autoridades de tránsito para recargar los tickets prepagados de forma gratuita.
Diferentes canastas
A pesar de las preocupaciones, la responsabilidad de las empresas de pagos móviles no está clara, según Van Cleef. A diferencia de los bancos que mantienen las cuentas relacionadas con las aplicaciones de pago móvil, las empresas podrían no estar sujetas a regulaciones contra el lavado de dinero.
“Dependiendo de cómo las empresas muestren los pagos, podrían caer en diferentes canastas”, precisó Van Cleef y señaló que algunas compañías del área deben registrarse como negocios de servicios monetarios o seguir las reglas de los proveedores de productos de acceso prepagado, mientras que otros quedan fuera del alcance de tales regulaciones.
Las empresas “necesitan estar pendientes de lo vulnerables que son al elemento criminal para asegurar que no están involucradas en el lavado de dinero, complicidad, o que están siendo intencionalmente ciegas”, afirmó Van Cleef.
