Estafas en cajeros automáticos: así funciona el dispositivo que roba dinero de la tarjeta de débito

“Si llegan a ir a un cajero y ven ese dispositivo NO APOYEN LA TARJETA AHI, no es de la red, es una nueva forma de clonar tarjetas…de hecho, avisen primero al banco y vayan a otro cajero!!!!” (sic), señala un posteo que se hizo viral en X en las últimas semanas, acompañado de una imagen de un dispositivo electrónico colocado encima de un cajero de la empresa Red Link. 

Sin embargo, aunque la imagen es real y el hecho sí ocurrió en Córdoba, no funciona como indica el texto sino que se trata de un dispositivo que anima a los clientes a apoyar su tarjeta bancaria contactless - un tipo de tarjeta que permite pagar o hacer operaciones en cajeros sin necesidad de introducir la tarjeta en la ranura - para debitar dinero sin el consentimiento del usuario, según indicaron fiscales y especialistas consultados por Chequeado.

La imagen viral y también un audio llegaron al número de WhatsApp de Chequeado (+54 9 11 6270 4259) para ser verificados. 

¿Dónde y cuándo ocurrió la estafa bancaria?

El hecho ocurrió en Córdoba capital, en un cajero automático de Link de un shopping que se llama Dinosaurio Mall, a principios de febrero. Por el caso se abrió una causa judicial que aún se encuentra en investigación y hay 3 personas detenidas. 

Franco Pilnik, fiscal de Cibercrimen de Córdoba, quien está a cargo de la investigación, explicó a Chequeado que no tienen noticias hasta el momento de que esta estafa se haya repetido en otros cajeros de la ciudad, sino solamente en ese cajero del centro comercial Dinosaurio Mall de avenida Fuerza Aérea. Además, el fiscal indicó que no han tenido casos similares. Sin embargo, en redes sociales usuarios se quejaron de situaciones similares.

“En principio no clona la tarjeta, sino que genera un débito a partir de apoyar las tarjetas contactless (pago sin contacto). Estamos estudiando cómo funciona, pero sería una suerte de postnet”, advirtió. 

Chequeado consultó al área de comunicación y de comercial de Red Link sobre este tipo de estafas, pero hasta el cierre de esta nota no obtuvo respuestas. 

¿Cómo funcionan este tipo de estafas bancarias?

Consultado por Chequeado, Emiliano Piscitelli, especialista en seguridad informática y director del grupo de investigación en Ingeniería Social de la Universidad Tecnológica Nacional (UTN) de La Plata, explicó cómo funciona el mecanismo del contenido viral: “Dentro de esa cajita que dice Red Link está camuflado un aparatito conectado por bluetooth. Lo que hace es que te ponen, por ejemplo, una compra en Mercado Pago de $ 10 mil pesos y vos apoyás en el aparatito la tarjeta y te hace el débito. En este caso (de Córdoba) lo que hacía era automáticamente debitarte $ 8 mil pesos. Básicamente, estaba esperando a que alguien apoyara la tarjeta como si fuera una compra”.

“Esto no es común, es bastante novedoso. Porque lo común es skimmings: un skimmer es más que nada con una banda magnética, una clonación de la tarjeta, en realidad. Pero esto no clona, sino lo que hace es debitar dinero directamente de la tarjeta. Es más difícil de detectar por la forma y por la novedad”, advirtió el especialista, co-fundador de OSINT Latam Group, un grupo de investigación en investigación con fuentes abiertas.

Por su parte, Horacio Azzolin, fiscal de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), indicó a Chequeado: “Funcionaría como un posnet contactless: vos apoyás la tarjeta en ese dispositivo y lo que hace es tomar los mismos datos que vos pondrías al hacer una compra. No te clona todos los datos de la tarjeta, pero sí los suficientes para autorizar una compra”: 

Azzolin también explicó que usualmente lo que se hace en esos casos es que “colocan este dispositivo en un cajero automático, la persona responsable de la operación (el autor del hecho) está cerca del lugar, precarga en el posnet una operación y cuando uno pasa la tarjeta autorizan. Lo que terminás haciendo al poner tu tarjeta es pagar una compra. Así funciona en principio este tipo de fraudes”. 

De acuerdo con el último Informe de la UFECI, entre abril de 2019 y marzo de 2020, hubo 2.581 denuncias de ciberdelitos ante la Unidad a través de sus casillas de correo electrónico, mientras que, en el periodo comprendido entre los meses de abril de 2020 y marzo de 2021, el número ascendió a 14.583 (un 465% de aumento). Entre los principales delitos denunciados se encuentran: fraudes en línea, fraude relacionado con compraventa, fraude bancario o relacionado con plataformas de homebanking, usurpación de identidad, entre otras.

Consejos para no caer en estafas bancarias

La primera recomendación del especialista Piscitelli es, en este tipo de casos, nunca apoyar la tarjeta en ningún tipo de dispositivo, y utilizar billeteras Anti RFID, “que protegen las tarjetas si alguien se te acerca con uno de estos lectores”.

Y advirtió: “Algo muy importante es habilitar la alerta de consumos en las tarjetas: para que te avise cada consumo que hacés”.

Además, es importante no brindar datos personales ni bancarios a supuestos representantes del banco, no realizar transferencias ni otras operaciones a cambio de futuros beneficios e informar al banco si se realizan contactos desde un canal no oficial.

“El desafío para incrementar la seguridad en las cuentas bancarias tiene que ver con generar más concientización, algo que estuvo relegado mucho tiempo por una cuestión de imagen, para no generar miedo en los usuarios, y además porque los números eran bajos respecto a lo que está pasando ahora”, señaló a este medio Azzolin en esta nota. 

Para denuncias en la Unidad Fiscal, se lo puede hacer por teléfono al (+54 11) 5071-0040 / 0041 o por correo electrónico a [email protected] 

La UFECI no es el único lugar posible donde se puede denunciar. En caso de que el delito se haya cometido, Daniel Monastersky, abogado especialista en Delitos Informáticos y director del Centro de Estudios en Ciberseguridad de la Universidad del CEMA, explicó en esta nota que la denuncia se puede hacer también en una comisaría por el acceso indebido a un sistema informático. Y después, para avanzar con la denuncia, aportar las pruebas.

“En Defensa del Consumidor también se puede hacer un reclamo para pedir una mediación con el banco”, señaló. Por otra parte, remarcó la importancia de las medidas cautelares, “para que se retrotraiga todo el dinero que le sacaron a la persona, esperando la definición más de fondo”.