El número de identificación bancaria (o BIN, por sus siglas en inglés) es la secuencia inicial de seis a ocho dígitos que aparece en una tarjeta de crédito, de débito u otra tarjeta de pago. Esta secuencia identifica al emisor de la tarjeta y facilita las transacciones financieras electrónicas al garantizar que el cargo se envía al banco correspondiente para su pago.
Además de identificar al banco emisor, el BIN también proporciona información sobre el tipo de tarjeta (por ejemplo, si es de crédito, de débito o de regalo), su nivel (como estándar, oro o platino) o la ubicación geográfica de la institución emisora. Los números BIN cumplen una función clave en cuanto a la seguridad y la prevención de fraude en las transacciones electrónicas, al verificar la autenticidad de la tarjeta que se utiliza y permitir a los procesadores de pagos aplicar los procesos de gestión de riesgos adecuados.
Los ataques BIN son una forma de fraude con tarjeta de crédito en los que los ciberdelincuentes utilizan métodos de fuerza bruta para adivinar las combinaciones válidas de la información de las tarjetas de crédito. Tan solo en 2022, las pérdidas por fraude con tarjeta de crédito ascendieron a los 219 millones de dólares en EE. UU. Durante un ataque BIN, los delincuentes prueban de forma sistemática muchas combinaciones de números de tarjeta de crédito, fechas de caducidad y valores de verificación de la tarjeta (CVV). Cuando encuentran la combinación que funciona, prueban la tarjeta realizando una serie de pequeñas compras. Estos ataques suponen un reto para las instituciones financieras, puesto que acarrean pérdidas económicas, daños en la reputación e interrupciones operativas.
En este artículo, analizaremos lo que las empresas deben saber acerca de los ataques BIN, incluido cómo funcionan y los pasos que tomar para evitarlos.
¿De qué trata este artículo?
- ¿Cómo funcionan los ataques BIN?
- ¿Qué empresas son más vulnerables a los ataques BIN?
- Cómo evitar y mitigar los ataques BIN
- Mejores prácticas para proteger tu empresa frente a los ataques BIN
¿Cómo funcionan los ataques BIN?
Los ataques BIN implican actores fraudulentos que explotan el BIN para generar números de tarjeta de crédito o débito válidos con fines ilícitos. El BIN es la secuencia inicial de seis a ocho dígitos en una tarjeta de crédito o de débito que identifica al banco emisor y el tipo de tarjeta. A continuación, desglosamos cómo se producen estos ataques:
Identificación del BIN: los atacantes se hacen con los BIN de determinados bancos o emisores de tarjetas. Los pueden conseguir por varios medios, como comprando listas de BIN en la web oscura, extrayéndolos de datos de tarjetas robadas o utilizando la información disponible públicamente.
Generación de números de tarjeta: los atacantes generan números de tarjeta completos al añadir dígitos generados de forma aleatoria al BIN y calcular el dígito de control correspondiente (suele ser el último dígito) mediante el algoritmo de Luhn, que es una fórmula que se usa para validar distintos números de identificación. Los atacantes BIN más sofisticados pueden emplear scripts o bots automatizados para generar y probar miles de números de tarjeta, lo que aumenta la eficiencia y la escala de los ataques.
Intentos de validación: los números de tarjeta generados se prueban en sitios web, normalmente en aquellos con medidas de seguridad deficientes o en los que el proceso de verificación no suponga una transacción real inmediata (como añadir una tarjeta a un monedero digital o comprobar su validez en determinadas plataformas en línea).
Explotación: una vez que se identifica un número de tarjeta válido, los estafadores lo pueden usar para efectuar compras sin autorización o transacciones hasta que el titular de la tarjeta o el banco emisor bloquean la tarjeta o detectan el fraude. Los estafadores pueden usar los datos de la tarjeta para efectuar compras en Internet, crear tarjetas falsas o vender información en la web oscura.
Estos ataques pueden provocar pérdidas financieras para la clientela y las empresas, dañar la confianza en las instituciones financieras y aumentar los costes operativos relacionados con la detección y prevención de fraude.
¿Qué empresas son más vulnerables a los ataques BIN?
Las empresas más susceptibles de ataques BIN suelen ser aquellas que procesan un gran volumen de transacciones en línea y que puede que no dispongan de un proceso de verificación riguroso.
Comerciantes en línea: las empresas de e-commerce que aceptan pagos por Internet suelen ser objetivo de ataques BIN debido a su mayor volumen de transacciones y al posible anonimato que ofrecen en las compras en línea.
Vendedores de productos digitales: las empresas que venden productos digitales como software, música o vídeos corren peligro porque los productos digitales pueden obtenerse rápida y fácilmente, lo que los convierte en un objetivo atractivo para los estafadores.
Empresas de viajes y hostelería: las aerolíneas, los hoteles y las agencias de viajes son susceptibles de ataques BIN, puesto que suelen trabajar con transacciones de grandes cantidades y con clientes internacionales, lo que dificulta detectar las actividades fraudulentas.
Empresas de videojuegos y apuestas: las plataformas de juegos y apuestas en línea son objetivos frecuentes de los ataques BIN por la naturaleza instantánea y de gran valor de las transacciones, así como por las posibilidades de anonimato.
Servicios basados en suscripciones: las empresas que ofrecen servicios basados en suscripciones, como las plataformas de streaming o los sitios web de suscripciones, corren peligro porque los estafadores pueden explotar los modelos de facturación recurrentes para poder efectuar transacciones fraudulentas durante un período largo.
Instituciones financieras: los propios bancos e instituciones financieras pueden ser blanco de ataques BIN, ya que los actores fraudulentos tratan de explotar las debilidades de los sistemas de procesamiento de pagos y realizar transacciones no autorizadas.
Procesadores de pagos: las empresas que gestionan el procesamiento de pagos para otras empresas también son vulnerables a ataques BIN, puesto que una filtración en sus sistemas tener una repercusión perjudicial para las empresas y sus clientes.
Cómo evitar y mitigar los ataques BIN
Análisis de comportamiento y machine learning: implementa modelos avanzados de machine learning y análisis de comportamiento para detectar patrones de transacciones anómalos. Estos sistemas pueden aprender del historial de datos de las transacciones para reconocer patrones que indiquen actividad fraudulenta y adaptarse a las nuevas amenazas a lo largo del tiempo.
Tokenización y cifrado: además del cifrado básico, utiliza la tokenización para sustituir los datos confidenciales de la tarjeta por un identificador único (token) que no tenga valor en caso de filtración. Asegúrate de que la tokenización se aplica en todos los sistemas en los que se procesan o almacenan datos de tarjetas. Considera también la posibilidad de emplear métodos criptográficos avanzados como el cifrado homomórfico, que permite realizar cálculos sobre datos cifrados, lo que proporciona una capa adicional de seguridad.
3D Secure 2 (3DS2): implementa la última versión de 3D Secure, que añade una capa adicional de autenticación para las transacciones en línea y favorece una experiencia del usuario más sencilla a la vez que proporciona funcionalidades de prevención de fraude más sólidas.
Detección de fraude a nivel de red: utiliza análisis avanzados a nivel de red para detectar y prevenir ataques BIN. Esto puede incluir el análisis del tráfico de la red en busca de patrones sospechosos, la supervisión de indicios de exfiltración de datos y la implementación de un sistema avanzado de detección de intrusiones.
Seguridad de puntos de conexión: asegúrate de que todos los puntos de conexión, especialmente los que participan en el procesamiento de transacciones, estén protegidos con plataformas avanzadas de protección de puntos de conexión que incluyan antivirus de última generación, detección y respuesta de puntos de conexión y modelos de seguridad de confianza cero.
Seguridad avanzada de las aplicaciones: utiliza medidas de seguridad de aplicaciones integrales, como auditorías periódicas del código, cifrado a nivel de aplicación y cortafuegos de aplicaciones web configurados para detectar y bloquear patrones de ataque específicos de los ataques BIN.
Inspección profunda de paquetes: utiliza la inspección profunda de paquetes en el perímetro de la red para analizar el tráfico entrante y saliente en la capa de la aplicación. Esto puede ayudar a identificar y bloquear posibles paquetes maliciosos que podrían formar parte de un ataque BIN.
Autenticación rigurosa: incorpora métodos de verificación biométrica, como la huella o el reconocimiento facial para conseguir unas capas adicionales de autenticación, especialmente para los cambios en los métodos de pago. Para las transacciones de alto riesgo, considera implementar la autenticación con consentimiento, donde el usuario debe aprobar explícitamente la transacción a través de un canal separado y seguro.
Puntuación de riesgo con IA: desarrolla o integra sistemas basados en IA que asignen puntuaciones de riesgo a las transacciones en tiempo real en función de varios factores, como el comportamiento del usuario, la huella digital del dispositivo y el contexto de la transacción. Las transacciones con puntuaciones de alto riesgo pueden activar una verificación adicional o bloquearse directamente.
Análisis entre canales y de geolocalización: realiza análisis en diferentes canales (p. ej., en Internet, en dispositivos móviles, en la tienda) para detectar patrones y conexiones en las actividades fraudulentas. Gracias a esta perspectiva integral, puedes descubrir estafas sofisticadas que explotan varios canales. Analiza también los datos de geolocalización de las transacciones para detectar discrepancias, como el uso de una tarjeta en dos lugares distantes en un plazo inverosímil.
Cadena de bloques para la seguridad de las transacciones: explora el uso de la tecnología de cadena de bloques por sus funciones de inmutabilidad y transparencia para asegurar las transacciones. Los contratos inteligentes se pueden utilizar para aplicar automáticamente las normativas de las transacciones, lo que reduce las posibilidades de fraude.
Mejores prácticas para proteger tu empresa frente a los ataques BIN
Segmenta tu red: divide tu red en segmentos para limitar la propagación de posibles intrusiones y facilitar una supervisión más selectiva. Controla los segmentos que tratan información confidencial sobre los pagos para detectar y responder rápidamente a actividades anómalas.
Mantente al día sobre la inteligencia de amenazas: utiliza fuentes de inteligencia de amenazas en tiempo real para estar al día de las últimas tácticas de ataque BIN y de los indicadores de compromiso. Esta información te puede ayudar a actualizar las medidas de defensa y a responder con mayor eficacia a las nuevas amenazas.
Planifica una respuesta ante incidentes proactiva: ten un sofisticado plan de respuesta ante incidentes diseñado específicamente para hacer frente a los ataques BIN. En él se deben incluir procedimientos de detección rápida, contención, erradicación y recuperación, junto con estrategias de comunicación para las partes interesadas.
Reevalúa de forma continua los protocolos de seguridad: evalúa periódicamente tu seguridad mediante pruebas de penetración, evaluaciones de vulnerabilidad y auditorías de seguridad para identificar y abordar las posibles debilidades que se podrían aprovechar en un ataque BIN.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.