Un equipo de científicos informáticos de la UC San Diego y la Universidad de Illinois ha desarrollado una aplicación que permite a los inspectores estatales y federales detectar dispositivos que roban datos de tarjetas de crédito y débito de los consumidores en las gasolineras. Los dispositivos, conocidos como skimmers, utilizan Bluetooth para transmitir los datos que roban.

"Todo lo que tienen que hacer los delincuentes es descargar los datos desde la comodidad de su vehículo, "dijo Nishant Bhaskar, un doctorado estudiante de informática en la Universidad de California en San Diego y primer autor del estudio.

La aplicación, llamado Bluetana, detecta la firma Bluetooth de los skimmers, y permite a los inspectores encontrar los dispositivos sin necesidad de abrir las bombas de gas.

Bluetana se desarrolló con información técnica del Servicio Secreto de los Estados Unidos y solo está disponible para los funcionarios encargados de hacer cumplir la ley y los inspectores de surtidores de gasolina. No estará disponible para el público en general. Ahora es utilizado por agencias en varios estados.

"Nuestro objetivo es brindar a los agentes de campo las mejores herramientas para el trabajo disponibles en la actualidad, "dijo Kirill Levchenko, profesor de informática en la Universidad de Illinois que obtuvo su Ph.D. en la Escuela de Ingeniería Jacobs en UC San Diego. "Hemos descubierto que Bluetana ayuda a los agentes a encontrar más estaciones de servicio con skimmers y a encontrar más skimmers en esas estaciones de servicio".

Los investigadores encontraron que, en comparación con aplicaciones similares disponibles actualmente para teléfonos inteligentes, Es probable que Bluetana descubra más skimmers y dé como resultado una tasa de falsos positivos mucho menor. "La tecnología Bluetooth utilizada en estos skimmers también se utiliza para productos legítimos que se ven comúnmente en y cerca de las estaciones de servicio, como las señales de límite de velocidad, sensores meteorológicos y sistemas de seguimiento de flotas, ", dijo Bhaskar." Estos productos pueden ser confundidos con skimmers por las aplicaciones de detección existentes ".

Bluetana utiliza un algoritmo desarrollado por los investigadores para distinguir los skimmers de los dispositivos Bluetooth legítimos. Los investigadores diseñaron el algoritmo basándose en los resultados de un estudio de campo durante el cual los investigadores analizaron escaneos de dispositivos Bluetooth tomados por funcionarios en 1, 185 gasolineras en seis estados de EE. UU.

"Bluetana extrae datos más significativos del protocolo Bluetooth, como la fuerza de la señal, que las aplicaciones de detección de skimmer existentes. En algunos casos, nuestra aplicación pudo encontrar dispositivos que no se detectaron mediante una inspección visual, "dijo Maxwell Bland, un doctorado estudiante de informática en UC San Diego y coautor del estudio.

En un año de funcionamiento, Bluetana ha llevado al descubrimiento de 42 skimmers basados ​​en Bluetooth en tres estados de EE. UU. todos los cuales fueron recuperados por agentes del orden. "Nos sorprendió que hubiera tantos skimmers en el campo que no habían sido descubiertos por otros métodos de detección, como las inspecciones manuales regulares, "dijo Aaron Schulman, profesor asistente de ciencias de la computación en UC San Diego. "Incluso encontramos dos skimmers que estaban instalados en bombas de gas y habían evadido la detección durante seis meses".

Los investigadores presentarán su trabajo sobre Bluetana en la conferencia USENIX Security 2019 el 14 de agosto de 2019 en el Área de la Bahía de San Francisco.

¿Qué hacen los skimmers y cuánto valen para los delincuentes?

Los skimmers tienen un alto retorno de la inversión para los delincuentes:los números de tarjetas de débito desnatados se pueden usar para retirar efectivo y los números de tarjetas de crédito desnatados para realizar compras costosas. Un dispositivo de desnatado cuesta $ 20 o menos para fabricar y puede generar más de $ 4, 000 por día, dependiendo de cuántas personas usen la bomba de gasolina y cómo el criminal convierte los números robados en efectivo.

Los criminales irrumpen en las bombas muchos de los cuales se pueden abrir con una llave maestra universal, para instalar los skimmers. Los skimmers están conectados tanto al teclado como al lector de banda magnética dentro de la bomba de gasolina. Esto permite que los dispositivos recopilen no solo los números de tarjetas de los clientes, sino también su código postal y PIN de facturación, en el caso de una transacción con tarjeta de débito.

Se necesita Bluetana, de media, tres segundos para detectar un skimmer. Por el contrario, law enforcement officials can take 30 minutes on average to find skimmers during manual inspections.

"UC San Diego is an important and active partner on our Southern California Electronic Crimes Task Force, and has been able to provide technological solutions to current investigative needs, " said Special Agent in Charge James Anderson of the Secret Service. "Our office looks forward to presenting them with other investigative challenges."

Próximos pasos

As more gas stations adopt payment systems exclusively for credit and debit cards with chips, criminals will use technologies to capture information from these types of cards. Researchers will have to follow suit. Visa and MasterCard are mandating that all gas stations in the United States use the chip-based systems by October 2020.

"Bluetana is not the last word, " Levchenko said. "As criminals evolve, our techniques will need to evolve also."