1

¡Cuidado! Lo pueden estafar con “Juegos con un Propósito”

El surgimiento de páginas web que incluyen piezas de código que pretenden generar números de tarjetas de crédito de instituciones bancarias fueron detectadas por el equipo de inteligencia contra fraude de la compañía Easy Solutions. Estas páginas se reconocen como “Juegos con propósito de fraude”.

Los Juegos de Computación Basada en Humanos, también conocidos como juegos con un propósito (GWAP), han sido usados por la industria de software para cumplir tareas que aunque sean triviales para los seres humanos, presentan un gran reto incluso para los mecanismos de cómputo más avanzados.

Los GWAP aprovechan la disposición de los humanos para colaborar o simplemente divertirse con el fin de resolver colectivamente problemas de cómputo a gran escala a través de juegos en línea.

Los GWAP han demostrado su valor al ayudar a desarrollar áreas tan diversas como la seguridad, la visión por omputador, filtros de contenido para adultos y búsquedas en Internet. Uno de los ejemplos más cercanos a la industria de seguridad son los reCAPTCHAs, los cuales son usados para detener bots a la vez que digitalizan libros y convierten palabras que no pueden ser leídas por computadores en CAPTCHAs resueltos con facilidad por la gente.

Estas páginas invitan a que la gente se una a la misión de adivinar colectivamente números de tarjetas de crédito. Ya sea, hacer dinero fácil con tarjetas robadas, combatir el sistema al apoyar a una banda de anarquistas o simplemente divertirse un poco tratando de adivinar números.

Bienvenido al Juego 

La probabilidad de generar aleatoriamente un número de tarjeta de crédito valido junto a una fecha de expiración válida y un CVV es muy baja. Y si incluso, el usuario se siente lo suficientemente osado para comenzar a adivinar números, aún tiene el problema de determinar si una TC generada está activa o no.

Históricamente, esto sólo pudo hacerse visitando el comercio online y tratando de hacer una transacción con los datos de la tarjeta, pero este ya no es el caso.

Con la aparición de pagos móviles y en línea, la habilidad de configurar un canal de pago para su aplicación ha sido demasiado simplificada. Compañías como Stripe, Braintree y Paymil ofrecen portales de pago amigables con el desarrollador que pondrán a probar el nuevo canal de pagos del usuario en minutos sin costo.

“Todo lo que necesitas es una dirección de email, una cuenta bancaria y no más de cinco minutos de creación de código. Esta es la evolución natural para un mundo donde la gente podrá comprar y vender en línea lo que sea que deseen”, afirmó Javier Vargas, Research Manager de Easy Solutions.

Ahora todos los estafadores están preparados. Todo lo que necesitan es una cantidad considerable de cuentas registradas con un portal de pagos, para empezar a probar sus suposiciones; esto ocurre cuando el criminal recurre a la naturaleza humana y usa los GWAP para cumplir sus propósitos. El único requisito para que los jugadores se unan, es abrir una cuenta con un portal de pagos, así mismo, un video de YouTube los guiará por los pasos para configurar una cuenta utilizando un email desechable, algunos datos falsos y estarán listos para usar el portal de pagos como oráculo para las suposiciones.

Para jugar, la persona tiene que ingresar un BIN (Número de Identificación Bancaria), el cual es usado como patrón para generar datos aleatorios de tarjetas de crédito. Luego, cada combinación de tarjeta, CVV y expiración es probada con una simple transacción de un dólar y el portal aceptará o rechazará la transacción. Si la transacción es exitosa, hay un ganador.

El jugador gana parcialmente porque es entretenimiento barato y eventualmente saldrá con una tarjeta robada. Pero técnicamente, el criminal es el verdadero ganador. Tenga en cuenta que entre más gente entre al juego, mayor es la oportunidad que tiene el estafador para encontrar una combinación válida.

“Técnicamente hablando, están dando acceso libre a un oráculo en un escenario en donde un ataque de fuerza bruta podría eventualmente ser muy posible. El peor escenario es donde un jugador logra tomar fotos de tarjetas de crédito y lo único que falta es la información del CVV. Si asumimos una tasa de pruebas de una tarjeta por segundo, un atacante puede estar seguro de conseguir una tarjeta válida dentro de quince minutos”.

.

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.