Enaela García CEO de CYCSAS
El shimming, una técnica de fraude que se dirige a las tarjetas de crédito y débito ha evolucionado silenciosamente para convertirse en una de las amenazas más insidiosas en el ámbito de la ciberseguridad. El shimming es peligroso y representa un riesgo significativo tanto para los consumidores como para las instituciones financieras.
El shimming implica la inserción de un dispositivo delgado, conocido como shim, en las ranuras de lectores de tarjetas, como los cajeros automáticos o terminales de punto de venta (POS). Este dispositivo es capaz de interceptar y registrar la información que se transmite entre la tarjeta con chip y el lector, sin que el usuario o el operador del dispositivo lo noten. A diferencia del skimming, que se enfoca en las bandas magnéticas de las tarjetas, el shimming se especializa en los chips EMV, que se consideran más seguros, pero no invulnerables.
El auge de la tecnología EMV -estándar para realizar pagos seguros a nivel internacional- y la creciente adopción de tarjetas con chip en lugar de las bandas magnéticas han reducido la incidencia del skimming, pero han dado paso al shimming. Esta técnica es particularmente preocupante porque puede comprometer incluso los sistemas de seguridad más avanzados que las instituciones financieras han implementado. La información robada a través de shimming puede ser utilizada para crear tarjetas clonadas, facilitando el fraude financiero y causando pérdidas económicas significativas.
Prevenir el shimming requiere una combinación de medidas tecnológicas, buenas prácticas de seguridad y conciencia del usuario. Aquí hay algunas estrategias clave para protegerse contra esta amenaza:
- Tecnología de detección avanzada:
- Monitoreo en tiempo real: Las instituciones financieras deben implementar sistemas de monitoreo en tiempo real que utilicen inteligencia artificial y aprendizaje automático para detectar actividades sospechosas y anómalas en los terminales de punto de venta y cajeros automáticos.
- Sensores anti-shimming: Los dispositivos de punto de venta y los cajeros automáticos pueden estar equipados con sensores anti-shimming que detectan la inserción de dispositivos no autorizados. Estos sensores pueden alertar a los operadores o desactivar el lector de tarjetas en caso de una posible intrusión.
- Diseño seguro de terminales:
- Diseño físico mejorado: Los fabricantes de terminales de punto de venta y cajeros automáticos deben trabajar en el diseño de dispositivos que sean más difíciles de comprometer. Esto incluye el uso de materiales más resistentes y diseños que impidan la inserción de dispositivos de shimming, en lo cual algunas instituciones financieras ya están trabajando.
- Actualizaciones regulares: Es crucial mantener todos los dispositivos actualizados con los últimos parches y actualizaciones de seguridad para cerrar cualquier vulnerabilidad que pueda ser explotada por los atacantes.
- Autenticación Multifactor:
- Capas adicionales de seguridad: Implementar la autenticación multifactor (MFA) para las transacciones es una medida eficaz para dificultar el uso de tarjetas clonadas. MFA requiere que los usuarios proporcionen dos o más verificaciones separadas para acceder a sus cuentas, lo que añade una barrera adicional para los delincuentes.
- Tokens y biometría: Utilizar tokens de seguridad y autenticación biométrica puede mejorar significativamente la seguridad de las transacciones, haciendo que sea mucho más difícil para los atacantes clonar tarjetas y cometer fraudes.
- Educación y concienciación del usuario:
- Inspección visual: Los usuarios deben ser educados sobre cómo inspeccionar visualmente los cajeros automáticos y terminales de punto de venta antes de usarlos. Deben buscar signos de manipulación, como piezas sueltas o extrañas, y evitar dispositivos que parezcan alterados.
- Notificaciones y alertas: Las instituciones financieras pueden enviar notificaciones y alertas a los usuarios sobre posibles fraudes y cómo protegerse. Esto incluye consejos sobre no compartir información de la tarjeta y estar atentos a actividades sospechosas en sus cuentas.
- Colaboración y compartición de información:
- Redes de seguridad compartida: Las instituciones financieras deben colaborar entre sí y con las autoridades para compartir información sobre nuevos métodos de shimming y técnicas de prevención. Esto puede incluir la creación de bases de datos comunes y sistemas de alerta temprana para identificar y responder rápidamente a las amenazas emergentes.
El shimming representa un desafío creciente en el ámbito de la seguridad financiera, pero no es insuperable. A través de la combinación de tecnología avanzada, medidas de seguridad proactivas y educación del consumidor, es posible mitigar este riesgo y proteger la integridad de las transacciones financieras. La colaboración entre instituciones financieras, fabricantes de dispositivos y usuarios es esencial para mantener un entorno seguro y confiable en el que las tarjetas con chip puedan seguir desempeñando su papel en la economía moderna sin el constante temor al fraude.