Laboratorios secretos donde hackean tarjetas de créditoREDACCION/ESPECIAL BBC MUNDO

No podría parecerse más a una escena de una vieja película ciencia ficción si fuera a propósito: un robot de madera que sisea como un freno de aire cuando una ráfaga de aire comprimido empuja su brazo de lado a lado, enviando una tarjeta de crédito que lleva pegada a través de un ruidoso lector de tarjetas.

La máquina sisea otra vez y empuja la tarjeta de vuelta, lista para otra pasada. Este acto repetitivo y casi hipnótico, que sigue hasta que alguien decide detenerlo, no es parte de la instalación de un museo, sino de un laboratorio en el norte de Inglaterra que pertenece a la compañía MasterCard. El laboratorio DigiSec tiene un impresionante arsenal de maquinaria de alta fidelidad, que incluye lásers, rayos X y otros dispositivos que tienen el fin de romper la tecnología que protege las contraseñas y códigos PIN de las tarjetas de crédito que usamos, algo en lo que están cada vez más interesados los cibercriminales.

También pueden averiguar cómo y dónde los criminales están tratando de utilizar estos sistemas dejan huellas de su propio ADN en cajeros automáticos, tarjetas y máquinas hackeadas de PIN.

Tecnología de ayer y de siempre

El resultado es lo que cuenta, así que si una máquina rudimentaria que parece sacada de una película de ciencia ficción del siglo pasado puede hacer el trabajo, el jefe de investigación del laboratorio, Simon Blythe, parece disfrutar de la tarea de construirla. "Cónseguí la madera en una tienda local y el activador automático por internet", dice, con una sonrisa.Un robot casero como éste ayuda a detectar algunas formas de fraude en tarjetas de crédito en el laboratorio DigiSec.

El objetivo del robot de madera es determinar si un pago sospechoso con tarjeta de crédito ha sido manipulado por hackers. Si lleva un chip malicioso, puede emitir una señal de radio que envía los detalles a un atacante equipado con una antena, por ejemplo, un punto de venta o un cajero automático.

Pero para que funcione, debe ser pasada varias veces, para permitir que el equipo sintonice la señal; el robot lo que hace es automatizar las "pasadas" de tarjeta. Además, el robot es una versión electromagnética de una cámara anecoica (sin eco), que en vez de erradicar el sonido, monitorea todas las señales de electricidad, wi-fi, teléfono celular, radio y televisión, permitiendo que la señal del hacker sea detectada. Y para evitar que esa débil señal sea absorbida por un robot regular de estructura metálica, tiene que estar hecho de madera, plástico y neumático.

Un acceso inusual

¿Y cómo sabemos lo que está pasando en este laboratorio?

Y después de décadas de permanecer detrás de bambalinas, ahora MasterCardabre las puertas de tres de estos laboratorios: el de Inglaterra, otro ubicado en Nueva York y un tercero en San Luis, Misuri. El chip está reemplazando la tira magnética. Pero no pasará mucho tiempo antes de que los delincuentes encuentren una manera de robar también con chip.

"Nunca antes hemos hablado de esto, pero hemos invertido mucho dinero en predecir ataques y proteger sistemas de pago tanto de forma digital como física", dice Ajay Bhalla, presidente de seguridad de la compañía.

Lo primero que llama la atención al llegar al laboratorio del norte de Inglaterra es su ubicación: escondido en un zona industrial, apretado entre una granja lechera y un parque, no anuncia su existencia a los cuatro vientos precisamente.

"La gente de la zona sabe que estamos aquí pero no sabe exactamente qué hacemos", afirma un portavoz de la compañía. Esto tiene importancia porque el asunto que aquí se trata es materia de seguridad nacional. Y los laboratorios de MasterCard reciben un buen número de visitantes del sector de inteligencia y la policía, dice Bhalla.

Cómo te roban con tira magnética

El trabajo en el laboratorio empieza con la tecnología más anticuada: la tradicional tira magnética de las tarjetas.

Aunque esta tecnología está de a poco siendo reemplazada por la de chip y PIN, todavía hay bancos que la usan en todo el mundo.

...y después de dominen el chip, irán por la información biométrica.

Para demostrar su vulnerabilidad uno de los jefes del laboratorio, Alan Mushing,aplica un spray a la tira magnética que revela inmediatamente la serie de bandas oscuras y claras que corresponden a los unos y ceros de la tarjeta. Esta facilidad para ser descifrada hace que la tecnología esté rápidamente quedando obsoleta, y en el laboratorio están ya intentando predecir lo que harán los cybercriminales en el futuro.

Muchos de los experimentos se basan en la actual tecnología de chip y PIN.

Por ejemplo, es posible descifrar la secuencia de unos y ceros de una tarjeta aplicando una carga eléctrica a los circuitos del chip. Esto puede hacer que los criminales descifren el código fácilmente, aunque por el momento la seguridad está funcionando.

"Todavía no hemos visto una tarjeta clonada", afirma Mushing.

Aunque no todos en el laboratorio están convencidos de que nunca pasará, ya que los intentos de descifrar esa tecnología son constantes. La gente que se dedica a robar con tarjeta no son trabajadores de 9 a 5. Por eso, tampoco pueden serlo quienes intentan combatirlos.

"La gente que se dedica a esto tiende a observar puntos débiles de forma permanente. No son trabajadores de 9 a 5", dice Paul Trueman, vicepresidente de seguridad de MasterCard.

Cómo te roban desde un punto de venta

Otra forma de atacar las tarjetas es centrarse en los dispositivos de lectura de las tarjetas en puntos de venta.

Esto implica añadir chips de memoria y conectores dentro de los dispositivos que pueden ser atacados.

Ahí es donde las máquinas de rayos X del laboratorio, un poco como en los aeropuertos, entran en juego. Al mirar a través del dispositivo, los ingenieros pueden buscar cambios mínimos que sugieran que los hackers añadieron un circuito.

A veces puede tratarse de algo tan pequeño como un cable suelto que lleva a un conector USB ilegal.

El truco, dice Mushing, es continuar perfeccionando las funciones de resistencia de los dispositivos, asegurándose de que alguien que trate de añadirles algo termine borrando todo su software criptográfico y lo inutilice.

El laboratorio también está tratando de predecir qué tipo de receptores pueden usar los hackers escondidos en el "paisaje" para robar datos. Uno de ellos, apodado el "bintenna" por Blythe, es un cesto de basura con un alambre receptor enrollado en un núcleo oculto.

En el mundo de lo "físico" y en el mundo de lo "virtual" las estrategias cambian constantemente.

Cuando pagas con tarjeta o usas un cajero, el chip intervenido, que puede estar ubicado en el propio cajero, le envía tus PIN a una bintenna ubicada cerca. Al equipo DigiSec le encanta tratar de adivinar cuál será el próximo mecanismo loco que utilizarán los criminales.

Cómo te roban tus datos biométricos

Pero además de chips y PINS, el futuro parece estar centrado en pagos inalámbricos a través del celular. 

¿Cómo entonces podemos proteger las lecturas biométricas que hacen los teléfonos de cosas como huellas digitales falsas que los hackers hacen con cera o cola para madera?

"Está bien usar una huella digital para activar tu teléfono, pero el pago de US$1.000 desde una cuenta de banco es algo distinto. Así que ahora mismo nos estamos centrando en esto", dice Trueman.

Como parte de este trabajo los fabricantes de tarjetas tiene que trabajar con compañías como Apple y Google para conocer mejor sus sistemas de medición biométrica para pagos. Pero ya que este tipo de compañías son conocidas por su discreción, ¿es fácil trabajar con ellas en este tipo de cosas?

La seguridad digital es una carrera. Ya no es suficiente ser reservado.

Bhalla es diplomático a la hora de hablar de los gigantes de la tecnología. "Me gusta su nivel de reserva. Mantienen la seguridad".

Lo que está quedando cada vez más claro es que ser reservado ya no es suficiente. La seguridad digital es una carrera y se necesita una vigilancia constante si las compañías quieren estar al mayor nivel en este juego.

Es el trabajo perfecto para un robot de madera, que mete y saca una tarjeta de su dispositivo. Una y otra vez.