Son muy socorridas y ya las puedes adquirir en muchos sitios, incluso a través de internet: las tarjetas regalo de tiendas virtuales (Amazon, Google Play, App Store…) y de establecimientos tanto físicos como online (Fnac, Media Markt, El Corte Inglés…) resultan de lo más socorridas cuando tienes que asistir a un cumpleaños o cualquier otra celebración con un obsequio, pero no tienes ni idea de qué comprar.
Sin embargo, muchas de estas tarjetas —desde su propio diseño a los sistemas para comprobar y canjear su valor— están mal planteadas desde el punto de vista de la seguridad, según ha demostrado tras años de estudiarlas Will Caput, investigador de la firma Evolve Security. Aprovechando sus múltiples vulnerabilidades, cualquier atacante con un mínimo conocimiento técnico (y algo de paciencia) podría utilizarlas para comprar con dinero ajeno tanto a través de la web como en persona.
La clave es que la numeración de estas tarjetas, según ha descubierto el ‘hacker’, suele seguir un cierto patrón. Por ejemplo, en una de doce cifras, los ocho primeros dígitos aumentan de uno en uno y los cuatro últimos son aleatorios. De esta forma, el delincuente que pretende sustraer el valor tan solo tiene que encontrar una tarjeta (o comprarla), ir sumando uno a la primera parte del número y averiguar, en cada caso, el tramo final.
A veces esto último lo puede hacer de forma fácil en la propia web del vendedor, en el apartado donde se comprueba el saldo de la tarjeta regalo. Simplemente tendría que llevar a cabo lo que se conoce como un ataque de fuerza bruta, tan sencillo como utilizar un programa que va probando todas las posibles combinaciones hasta dar con la adecuada. En el ejemplo, la herramienta no tardaría más de diez minutos en averiguar los cuatro dígitos que cambian y confirmar si la tarjeta está activada y cuál es su valor.
Con el botín en su poder, el asaltante ya solo tiene que gastarse el dinero antes que su legítimo dueño, la persona que activó la tarjeta. Lo puede hacer comprando o realizando un pedido a través de internet (si la tienda o el restaurante lo permite) o incluso acudiendo físicamente al establecimiento con una copia de la tarjeta cuya numeración ha comprobado impresa gracias a un dispositivo que se puede comprar por menos de 100 euros en Amazon.
“Básicamente estás robando el dinero de otra gente a través de estas tarjetas”, afirma Caput. “Es una ataque bastante anónimo”. De hecho, se sabe con certeza que los ciberdelincuentes han seguido esquemas muy similares para sustraer tarjetas que después vendían en el mercado negro de la internet oscura, en páginas como la clausurada AlphaBay.
Cientos de negociaciones en la infame web estaban relacionadas con la compraventa de tarjetas regalo robadas, tal y como demostró la compañía de seguridad Flashpoint en un reciente informe. Según sus datos, uno de los comerciantes más activos amasó una pequeña fortuna de al menos 400.000 dólares (más de 335.000 euros) vendiendo tarjetas de más de una docena de establecimientos.
Para prevenirlo, las empresas que tienen en marcha estos programas pueden recurrir a varias medidas de seguridad: implementar un ‘captcha’ robusto en su web que impida realizar ataques de fuerza bruta, no tener las tarjetas a la vista en sus establecimientos físicos, tapar la numeración con una banda gris que haya que rascar... Aunque ninguna descarta de golpe todos los posibles escenarios de fraude, la combinación de varias protecciones complica las cosas a los atacantes y puede conseguir, cuando menos, que el delito les resulte mucho menos lucrativo.