En noviembre de 2015, Will Caput trabajaba para una empresa de seguridad a la que se le había asignado una prueba de penetración de una importante cadena de restaurantes mexicanos, en la que buscaba vulnerabilidades en sus sitios web. Así que cuando Caput, de 40 años, se tomó un descanso para comer, tenía en mente frijoles y guacamole. Decidió conducir hasta la sucursal local del restaurante en Chico, California. Mientras estaba allí, todavía con la intención de probar la seguridad del restaurante, se dio cuenta de que había una bandeja de tarjetas de regalo sin activar sobre el mostrador. Así que las cogió todas -a la cajera no le importó, ya que los clientes pueden cargarlas con una tarjeta de crédito desde casa a través de la web- y se sentó en una mesa, examinando la pila mientras comía su burrito vegetariano.
Al hojear las tarjetas regalo, se dio cuenta de un patrón. Mientras que los últimos cuatro dígitos de las tarjetas parecían variar al azar, el resto permanecía constante excepto un dígito que parecía aumentar en uno con cada tarjeta que examinaba, subiendo ordenadamente como una escalera de póquer. Para cuando terminó su burrito, ya tenía un plan para defraudar al sistema.
El timo de los regalos
Después de años de examinar la industria de las tarjetas de regalo al por menor tras ese descubrimiento inicial, Caput planea presentar sus hallazgos en la conferencia de hackers Toorcon este fin de semana. Entre ellos se incluyen trucos demasiado sencillos que los piratas informáticos pueden utilizar para determinar los números de las tarjetas de regalo y sacarles dinero, incluso antes de que el titular legítimo de la tarjeta tenga la oportunidad de utilizarlas. Aunque algunos de estos métodos son semipúblicos desde hace años, y algunos comercios han corregido sus fallos de seguridad, una parte preocupante de los objetivos sigue estando abierta a los esquemas de piratería de tarjetas regalo, afirma Caput. Y como muestra el análisis del recientemente desaparecido mercado de la web oscura AlphaBay, los delincuentes reales también han hecho un uso prolífico de esos esquemas.
«Básicamente estás robando el dinero de otras personas a través de estas tarjetas», dice Caput, que ahora trabaja como investigador para la firma Evolve Security. «Se toma una pequeña muestra de tarjetas de regalo de restaurantes, grandes almacenes, cines, incluso aerolíneas, se mira el patrón, se determinan las otras tarjetas que se han vendido a los clientes y se roba el valor en ellas.»
William Caput
Para llevar a cabo el truco, Caput dice que tiene que obtener al menos una de las tarjetas de regalo de la empresa objetivo. Las tarjetas no activadas suelen estar a la vista en restaurantes y comercios, o simplemente puede comprar una. (No todas las tarjetas cambian por el valor de una, como hizo aquel primer restaurante mexicano. Pero Caput dice que obtener dos o tres tarjetas puede ayudar a determinar los patrones de las que no lo hacen). A continuación, simplemente visita la página web que la tienda o el restaurante utiliza para comprobar el valor de una tarjeta. A partir de ahí, ejecuta el software de fuerza bruta Burp Intruder para recorrer los 10.000 valores posibles de los cuatro dígitos aleatorios del final del número de la tarjeta, un proceso que dura unos 10 minutos. Repitiendo el proceso e incrementando los otros números predecibles, el sitio confirmará exactamente qué tarjetas tienen cuánto valor. «Si puedes encontrar una sola de sus tarjetas de regalo o vales, puedes forzar la página web», dice.
Una vez que un ladrón ha determinado esos números de tarjeta activados y con valor, puede utilizarlos en la página de comercio electrónico del minorista, o incluso en persona; Caput los ha escrito en una tarjeta de plástico en blanco con un dispositivo de escritura de banda magnética de 120 dólares disponible en Amazon, y ha descubierto que la mayoría de los minoristas aceptan sus tarjetas sin hacer preguntas. (Caput sólo pide a la tienda o al restaurante que compruebe el saldo de la tarjeta, en lugar de gastar el dinero de las tarjetas que pertenecen a las víctimas reales). «Es un ataque bastante anónimo», dice Caput. «Puedo entrar, pedir comida y salir. La tarjeta de la persona dice que tiene 50 dólares, y luego desaparece».
Balancing Act
Caput ha estado advirtiendo a los minoristas y restaurantes sobre su esquema desde que lo descubrió por primera vez hace casi dos años. Los objetivos potenciales, entre los que se encuentran Trader Joe’s, Macy’s y Taco Bell, han respondido retirando sus páginas web de comprobación del valor de las tarjetas de regalo y exigiendo a los usuarios que comprueben sus tarjetas de regalo por teléfono o añadiendo s a sus páginas web de comprobación del valor de las tarjetas, diseñadas para evitar que los programas automatizados forzaran los números de las tarjetas de regalo.
Pero otros restaurantes, comercios minoristas y empresas, que Caput no quiso nombrar en el expediente, no han implementado medidas de seguridad contra su truco de fraude o han añadido una defensa que él pudo sortear. Descubrió que muchos proveedores de tarjetas de regalo utilizan ahora una página de comprobación del valor de la tarjeta que él puede eliminar simplemente desactivando los elementos javascript de la página, utilizando la herramienta de software Burp Proxy. Eso le permitió llevar a cabo los mismos ataques de fuerza bruta, encontrar los números de las tarjetas activadas y explotarlos igual que en 2015. Otros minoristas puntuales y cadenas regionales que ha probado no han añadido s en absoluto, o utilizan simples números incrementados en sus tarjetas de regalo que ni siquiera requieren fuerza bruta.
Las tarjetas de algunos minoristas utilizan números PIN además del número codificado en la tarjeta. Pero ese PIN sólo es necesario para comprobar el saldo de la tarjeta, no para gastar su valor, dice Caput. Y si un pirata informático quisiera realmente determinar el valor de una de esas tarjetas protegidas con PIN, podría forzarlo con Burp Intruder con la misma facilidad que el propio número de la tarjeta.
«Puedo entrar, pedir comida y salir. La tarjeta de la persona dice que tiene 50 dólares, y luego desaparece’. -Investigador de seguridad Will Caput
Caput señala que incluso los restaurantes y comercios que han añadido robustos s a sus páginas de comprobación del valor de las tarjetas regalo pueden seguir siendo vulnerables. Si las tarjetas de regalo se dejan accesibles, puede simplemente coger toda la pila de tarjetas, fotografiar el reverso de las mismas y volver a colocarlas posteriormente en la bandeja. Después, simplemente comprueba esos números periódicamente a través de la página web del restaurante o del comercio hasta que la tarjeta se haya activado. Cuando lo esté, podrá gastar el dinero que se le haya añadido.
Las vulnerabilidades que ha encontrado Caput no son meramente teóricas. En mayo, la empresa de seguridad Flashpoint publicó un informe en el que la compañía encontró cientos de discusiones sobre tarjetas de regalo «crackeadas» en foros de la web criminal, que se dispararon en el verano de 2016 y de nuevo a principios de 2017, en comparación con prácticamente ninguna antes de 2016. El analista de Flashpoint, Liv Rowley, dice que solo un vendedor en el mercado de la web oscura AlphaBay había hecho más de 400.000 dólares en ventas entre noviembre de 2016 y julio de este año, cuando AlphaBay fue cerrado por el FBI, en gran parte vendiendo tarjetas de regalo robadas para más de una docena de marcas, incluyendo tiendas como OfficeMax y Whole Foods. Cuando Flashpoint habló con uno de los minoristas afectados, los investigadores de la compañía determinaron que el vendedor estaba efectivamente utilizando una herramienta automatizada para forzar bruscamente las tarjetas de regalo activadas, tal y como ha demostrado Caput. «Muchas tarjetas regalo están numeradas secuencialmente, y parece que él o ella simplemente las comprobaba así», dice Rowley.
Todos los problemas de seguridad de las tarjetas regalo que Caput destaca tienen soluciones relativamente sencillas: Implementar fuertes s que los malos actores no puedan eludir en los sitios de comprobación del valor de las tarjetas de regalo, no dejar las tarjetas de regalo no activadas en los mostradores de las tiendas, y utilizar cubiertas para rascar las tarjetas para evitar que sean fotografiadas y luego reemplazadas en las tiendas.
Pero hasta que los minoristas y los restaurantes hagan esas correcciones, los consumidores serían sabios en pensar dos veces antes de comprar tarjetas de regalo que podrían tener su valor desviado por los hackers. Antes de coger esa tarjeta desprotegida del mostrador de una tienda, piense en quién podría haber cogido una primero y quién más podría conocer los secretos de ese trozo de plástico.