Hackeando tarjetas prepago y tarjetas regalo o promocionales

Introducción

Hoy es uno de esos días en los que toca hacer un post sobre hackeo, y de nuevo vamos a adentrarnos en el maravilloso, estimulante e intelectualmente prometedor mundo financiero, porque considero que es, de lejos, el más interesante para el conocimiento de técnicas de hackeo permanentemente actualizadas.

Veamos por qué:

• El mundo financiero es, de sobra, el más competitivo y el tecnológicamente más avanzado por cuanto es el que más dinero tiene para inversiones en informática y programación.
• Desde el punto de vista del estímulo y el reto intelectual, no hay industria como la financiera para estar a la vanguardia del hacking o de la ingeniería inversa, dado que es la que más herramientas, tecnologías complejas y planificación técnica posee. Así que es el “campo de entrenamiento” perfecto. Siempre desde el punto de vista del reto mental que supone, claro está.
• Por último, por qué negarlo, el conocimiento de herramientas, técnicas, recursos y procesos de hacking en materia financiera puede ser, el algún momento hipotético, el más necesario para cualquiera. Sobre todo hoy en día en que la crisis ha empobrecido a tantos y conceptos como “embargos”, “comisiones”, y abusos en general, merman las economías de muchas personas. Conocer los sistemas financieros y, como no, sus puertas traseras o fallos, debería formar parte de la “caja de herramientas mental” de cualquiera… Por si acaso…

En otros post sobre hacking, aquí en SOMOS BINARIOS, hemos tratado fórmulas de creación de cuentas bancarias paralelas, invisibles y anti-embargos (aquí el enlace al post), así como hemos aprendido a hackear WhatsApp y cualquier actividad de un teléfono móvil Android, desde sus llamadas a mensajes y ubicación, activando a distancia el GPS del teléfono (aquí el enlace al post).

Tarjetas prepago y tarjetas regalo

Hoy le toca el turno a las tarjetas prepago, más conocidas como tarjetas-regalo que muchas compañías dan a sus clientes, empleados, ganadores de premios y concursos etc… pero que no permiten sacar el dinero que tienen precargado, sino que sólo pueden emplearse para comprar artículos o servicios (generalmente en comercios adheridos a una determinada promoción), de manera que el “regalo” se convierte en un “consuma usted aquí y sólo aquí, por el importe que viene preconfigurado en la tarjeta”.

Es un modo de fidelizar a la clientela, así como una forma de no desembolsar el dinero del premio o del regalo que supuestamente se hace. Técnicamente hablando, en efecto, nos están concediendo un galardón en metálico, pero de facto, es una forma de no darnos ese dinero sino una especie de cheque digital a emplearse sólo en determinados comercios, por lo general, los que aparecen como sponsors en la propia tarjeta.

En fin… ¿Qué os voy a decir que no os imaginéis ya?. Hecha la norma, servida la trampa. O, mejor expresado en términos de ingeniería inversa: Allí donde haya un sistema complejo, más susceptible será de que tenga puertas traseras que aprovechar. Encontrarlas, conocerlas y, potencialmente explotarlas, se llama hacking.

Lo primero que debemos entender de estas tarjetas de crédito (cuya extracción de dinero en efectivo está anulada) es que dicha anulación sólo es operativa para cajeros automáticos. Es decir, pese a contar con su correspondiente chip o banda magnética donde han sido grabados los datos de la cuantía disponible en la tarjeta, dicho dispositivo no admite ser leído ni operado desde un cajero automático. De manera que es una tarjeta “ciega” de la que no se puede extraer el efectivo.

Pero por supuesto tiene su propio punto débil y su puerta trasera en su escasa versatilidad: Como sólo puede ser empleada como medio de pago en un comercio, cualquier Terminal Punto de Venta con capacidad de cobro por tarjeta de crédito o débito, puede “cobrar” o extraer ese dinero y convertirlo en efectivo en una cuenta bancaria convencional.

De manera que, una vez comprendida su dinámica, ya es bien sencillo emular ese Terminal Punto de Venta y simular el cobro por parte de un comercio. Es tan simple que hay varias fórmulas para hacernos con el dinero contante y sonante que esconde la tarjeta, engañando al sistema de pago que hay detrás de la misma. Algunas de estas fórmulas son más técnicas, otras menos elegantes y más “rústicas” pero todas son igual de efectivas porque terminan alcanzando el objetivo: Hacernos con el dinero en metálico que la tarjeta-regalo no nos quiere dar.

FÓRMULA 1 (la menos elegante): Es sencilla. Acudir a un amigo que tenga un comercio, un bar, una cafetería o cualquier negocio con cobro por tarjeta de crédito y llegar a un sencillo acuerdo con él. Pasar la tarjeta y que se cobre todo el importe precargado en la misma. Ese dinero irá en el acto a su cuenta bancaria (la del comercio) y el amigo o contacto puede darnos la cantidad en metálico de la caja del negocio. Para que a nuestro amigo no le cueste dinero hacernos el favor, podemos descontarle la comisión que su banco le cobre por operar con tarjeta de crédito, de manera que, exceptuando los pocos euros de la comisión, tendremos en mano el montante completo precargado en la tarjeta. Esto es lo que se conoce usar un Bar como cajero automático.

FÓRMULA 2 (mucho más técnica, sin intermediarios y directa): Como intuyo que nadie que esté leyendo este post cuenta en su casa con un terminal punto de venta, y mucho menos con un datafono (es decir, con un sistema de cobro por tarjeta) vamos a irnos directamente al sistema de hackeo virtual. Es decir, a hacernos con un sistema TPV y de cobro por tarjeta de crédito y débito online. Hay tantos que no voy a recomendar ninguno. Es tan sencillo como hacerse con uno, descargarlo o darnos de alta online (incluso los hay que permiten períodos de prueba libre de gastos y comisiones).

Una vez dados de alta y poseer nuestro software TPV o de cobro por tarjeta, sólo tenemos que hacer una “venta” simulada virtual. Es decir, el mismo procedimiento que siguen quienes venden por EBay o tienen una tienda online y cuentan con este servicio para cobrar a sus clientes a distancia a través de tarjeta. Previamente, hemos configurado o vinculado nuestro sistema TPV a nuestra cuenta bancaria, que es adonde irá a parar el dinero de nuestra “venta”.

Si el montante precargado en la tarjeta regalo no es muy alto, podemos cobrarlo íntegramente en una sola transacción. En caso de que seamos los depositarios o afortunados galardonados u obsequiados con una tarjeta regalo por una cantidad importante, se recomienda simular varias ventas de forma que sean varios los cobros y distintos los conceptos por los que se cobra ese dinero que se extrae de la tarjeta.

Como hemos dicho, el dinero irá a parar a la cuenta bancaria que hayamos vinculado a nuestro sistema virtual y online TPV.

FÓRMULA 3 (la más directa): ¿Si cuentas con un datafono fruto de un negocio anterior, o de tu propio comercio, ya sea callejero u online?. ¡Perfecto! Tú lo tendrás más fácil que en las dos opciones anteriores. Ni precisas valerte del negocio de un amigo, ni tienes que crear un sistema de cobro por tarjeta online o TPV virtual.

En este caso, puedes pasar directamente tu tarjeta regalo por tu datáfono y convertir la tarjeta regalo en una tarjeta de crédito totalmente operativa de la que extraer tu dinero. Con lo que habrás bordeado la imposibilidad de usar la tarjeta en cajeros automáticos.

Objetivos logrados con estas técnicas

 ¿Y para qué sirve todo esto?. Bien, hay varias respuestas a esta pregunta:

1. El conocimiento no ocupa lugar y en cambio enriquece muchísimo. Sobre todo, el conocimiento práctico y técnico. Además, nunca sabes cuándo puedes necesitar lo que aprendas hoy. El hacking se basa en eso: Conocer por el placer del saber. Ojalá nunca “necesites” usar todo tu potencial y conocimiento, pero si ese momento llega, estarás siempre más preparado cuanto más conocimientos almacenes.
2. La ingeniería inversa se basa en el placer intelectual. En el reto. En el estímulo de encontrar puertas traseras en sistemas complejos y aparentemente invulnerables o construidos para que no puedan ser dinamitados. Sin más uso, ni más pretensiones. Sencillamente, es más interesante que hacer sudokus… Y, seamos sinceros, encontrar puertas traseras en sistemas complejos desarrollados por muchas personas dedicadas a hacerlos inviolables, es una pasada.
3. Como he dicho más arriba, contar con una buena caja de herramientas mentales repleta de recursos que, quizá y sólo quizá, algún día podrían venirte bien, es bueno en sí mismo. El conocimiento debe ser gratuito y abierto a todo el mundo. Usarlo o no, es cosa de cada cual, así como el empleo que se le de a dicho conocimiento. Y aquí estamos para aprender y compartir.

La moraleja de este, como del resto de post sobre hacking (sobre todo en sistemas complejos como los financieros y bancarios o los telefónicos) es que NO EXISTE EL SISTEMA INVULNERABLE. No existe el sistema perfecto. Cuanto más complejo es un sistema más opciones hay de que posea puertas traseras en su propia génesis. Encontrarlas y, potencialmente explotarlas o no, es cosa de cada cual, pero no deja de ser un ejercicio muy estimulante.