EL ROBO DE UN BANCO DEL SIGLO XXI

Uno de los principales robos de bancos de todos los tiempos ocurrió en diciembre de
2012 y en febrero de 2013, cuando una red mundial de crimi- nales cibernéticos logró
robar $45 millones en dos operaciones de piratería informática. Los ladrones se
enfocaron en una empresa en La India, y una empresa ubicada en Estados Unidos que
procesa transacciones de tarjetas de débito prepagadas Visa y Mastercard. Se sabe que
los procesadores de pagos emplean una seguridad de red menos estricta que las
instituciones financieras. Una vez que tuvieron acceso a la información de las cuentas,
los hackers buscaron las tarjetas de débito prepagadas emitidas por dos bancos del
Medio Oriente cuyas bases de datos ofrecían otro punto de seguridad relajada: Rakbank
(Banco Nacional de Ras Al-Khaimah) en los Emiratos Árabes Unidos y el Banco de Muscat
en Omán.
En vez de acumular muchos números de cuentas, los hackers eliminaron los límites de
retiro en sólo algunas tarjetas. La información de sólo cinco tarjetas emitidas por
Rakbank generaron los $5 millones iniciales; sólo doce tarjetas del Banco de Muscat
recabaron la mayor parte en el segundo ataque. No se vaciaron cuentas de banco
individuales o empresariales, sino que los fondos se extrajeron de cuentas de reserva
compartidas de las que se deducen de inmediato las transacciones de las tarjetas de
débito prepagadas con la concurrente reducción de las subcuentas individuales (el valor
asociado con una tarjeta). Ambas tácticas se diseñaron para retrasar la detección.
A continuación, los hackers crearon nuevos números NIP (identificación personal) para
las tarjetas. Luego, usando codificadores de tarjetas disponibles en el ámbito comercial
conectados por puertos USB a laptops y equipos PC; una red de ejecutores simplemente
utilizó el software integrado para introducir los datos de la cuenta, hicieron clic en
Escribir o Codificar, y pasaron todas las tarjetas de plástico con tira magnética que
pudieron, incluyendo las viejas tarjetas de crédito expiradas y tarjetas de llaves de hotel.
Con las tarjetas falsificadas en la mano, equipos en más de dos docenas de países como
Japón, Rusia, Rumania, Egipto, Colombia, Gran Bretaña, Sri Lanka, Canadá y Estados
Unidos comenzaron a recolectar el dinero en cajeros automáticos. El botín de $45
millones se logró a través de 36,000 transacciones bancarias en alrededor de diez horas.
En mayo de 2013 se arrestaron a siete miembros de la célula de Nueva York; un mes antes
encontraron al octavo, y supuesto líder, asesinado en la República Dominicana. No se
pudo atrapar a los líderes de la mafia mundial. Las tiras magnéticas son una tecnología
antigua de más de cuatro décadas que gran parte del mundo ha abandonado debido a
que son muy vulnerables a la falsificación y el robo mediante “skimmers” de tarjetas
portátiles. Otras regiones importantes del mundo han estado usando tecnología EMV
(Europay, MasterCard y Visa) por casi 20 años. Conocido comúnmente como el sistema
de chip y NIP, las tarjetas inteligentes EMV almacenan información de las cuentas en un
chip integrado y su cifrado de datos es más robusto que el de las tarjetas de tira
magnética. Las tarjetas de crédito de tira magnética presentan los mismos datos de
autenticación cada vez que se pasan, mientras que las tarjetas del sistema de chip y NIP
ofrecen un valor matemático cifrado distinto cada vez, lo que hace más difícil para los
criminales usar datos robados para compras en el futuro. Para una seguridad adicional,
el usuario debe introducir un NIP para verificar la identidad del tarjetahabiente.
Los bancos estadounidenses y los comerciantes se han opuesto a los gastos que implica
el cambio de sistemas de procesamiento de pagos. No es una cuestión insignificante. Hay
que reemplazar más de 600 millones de tarjetas de crédito y 520 millones de tarjetas de
débito. Además, hay que reemplazar más de 15 millones de lectores de tarjetas de puntos
de venta. Es necesario modernizar o reemplazar cerca de 350,000 cajeros automáticos
en todo el país. Cada tienda, restaurante, estética, gasolinera, consultorio médico,
quiosco y máquina expendedora se verán afectados, al igual que la infraestructura de
procesamiento de pagos en los bancos adquirientes, donde las cuentas mercantiles
reciben los depósitos de las ventas provenientes de tarjetas de crédito. También se verán
afectados los procesadores de pagos, que suministran el software y los sistemas
tecnológicos para interconectarse con las asociaciones de tarjetas (Visa, MasterCard,
etc.) y procesar las transacciones con tarjetas. Entre tanto, en el nombre de la
interoperabilidad global, el resto del mundo ha seguido emitiendo tarjetas EMV con tira
magnética y conservan la infraestructura de las tiras magnéticas. Pero tal vez el cambio
llegue finalmente en Estados Unidos. A partir de octubre de 2015 y hasta finales de 2017,
si un comerciante no cuenta con capacidad para EMV en la fecha especificada, asumirá
la responsabilidad por transacciones fraudulentas y disputadas.
Fuente: K. Laudon & J. Laudon. Sistemas de Información Gerencial. 14 ed. Pearson, 2016, pp 303-304