¿Cómo de fácil es rastrear la tarjeta de crédito de otra persona?

Question

En las películas y en la ficción, los agentes del gobierno, los hackers del sótano de mamá, los villanos malvados, etc., suelen ser capaces de contar en minutos cosas como "hace veinte minutos alquiló un barco en Snow Hill" o "compró dos sándwiches de pollo y lechuga en el metro de la estación de tren de Waverley".

De hecho, ¿es posible en tiempo real conectarse a varias redes de pago? Además, ¿no dirá la transacción sólo "88,50 libras esterlinas en McGregor Inc, Snow Hill"?

¿Y si tiene tarjetas con diferentes nombres? ¿Qué es lo que realmente se rastrea? Tengo una tarjeta J Smith, otra Jane Smith, la tercera Mrs J K Smith y la amex Dr Jane Knutt Smith. Las dos primeras tienen la dirección de facturación en mis padres.

Answer 1

Mi trabajo a tiempo completo consiste en escribir software que procesa las transacciones de las tarjetas de crédito, así que estoy familiarizado con este tema. Primero abordaré la parte más fácil de su pregunta:

Robo de datos

Agentes del Gobierno

Hay una clara diferencia entre "agentes del gobierno" y "hackers del sótano de mamá, villanos malvados, etc.". Los primeros tienen una forma muy sencilla de conseguir esta información: exigiéndola al titular de la tarjeta banco emisor . El banco emisor tiene un registro de todas las transacciones realizadas con la tarjeta de crédito y, por lo general, los gobiernos pueden obligarles a proporcionar información a las fuerzas del orden. Siempre que un carácter de la policía en un drama criminal dice que se comprobaron los registros de la tarjeta de crédito del sospechoso, esto es lo que siempre he supuesto que estaban haciendo. En los mundos ficticios en los que se desarrollan estas historias, es posible que el malvado villano tenga suficiente influencia sobre el banco emisor como para obligarle a proporcionar la información. En la vida real, esto es menos probable.

Otros hackers

Para un hacker de la vida real robar esta información sería mucho más difícil. Una vez que los datos de la transacción pasan del comerciante al banco adquirente Los mensajes de las transacciones suelen transmitirse por fibra dedicada en lugar de por Internet. Como mínimo, las partes que se comunican están unidas por un VPN con encriptación a nivel de red de datos. Esto haría casi imposible que un hacker robara esta información en tránsito. El lugar más vulnerable para un hacker sería la red WiFi del comerciante. Una vez hecho esto, nuestro malvado villano podría realizar un Ataque MITM para robar los datos de las transacciones antes de que salgan por la puerta (por así decirlo) hacia el adquirente. Esto no le permitiría ver todas las transacciones realizadas por una tarjeta de crédito concreta en un periodo de tiempo determinado, pero si tiene una corazonada sobre a dónde va a ir el protagonista sería le permiten confirmar que ha ocurrido, potencialmente en tiempo real.

Contenido de la transacción

En cuanto a si es posible saber exactamente qué nuestro héroe compró en la tienda, la respuesta es "probablemente sí". Los datos de detalle pueden proporcionarse como parte de los mensajes estándar de las transacciones de pago. Esto, junto con algunos otros datos, se suele llamar algo así como datos de "Nivel III" (aunque el nombre utilizado para ello varía). Los datos de nivel III no suelen ser obligatorios; sin embargo, proporcionarlos puede dar lugar a menudo a una reducción de las tasas de procesamiento de la transacción. Por lo tanto, muchas operaciones de pago llevan adjuntos datos de detalle.

Cómo encontrar sus tarjetas de crédito

Para que alguien sepa qué tarjetas de crédito debe rastrear, necesitará más información que su nombre. Si conocen el número de la seguridad social del objetivo, su informe de crédito tendrá información básica sobre sus cuentas de crédito. Para un actor gubernamental, el proceso para obtener la información de las transacciones de una persona implicaría mirar el informe de crédito del sujeto para encontrar con qué bancos ha abierto cuentas de crédito, y luego ir a esos bancos y exigir la información. Para un hacker normal, incluso la lista de las cuentas de tarjetas de crédito de nuestro héroe que figura en su informe crediticio probablemente no sería tan útil porque, como he mencionado antes, el banco emisor no se limitará a entregar los detalles de las transacciones.

Answer 2

Soy programador. Trabajo con código que integra sitios y terminales de pago con soluciones de pago, así que sé qué información se envía a y desde varios integradores (no sólo entre el vendedor y el emisor de la tarjeta de crédito y el banco). Puedo decirle que, salvo exploits de día cero , todos los sistemas implicados son lo suficientemente seguros.

Las personas, en cambio, no lo son.

Los hackers del sótano de mamá, los villanos malvados, etc. a menudo son capaces de contar en minutos cosas como "hace veinte minutos alquiló un barco en Snow Hill" o "compró dos sándwiches de pollo y lechuga en el Subway de la estación de tren de Waverley".

El hacker del sótano de mamá (en adelante MBH) puede haber engañado a su cónyuge para que instale algún software como TeamViewer en su ordenador (normalmente como parte de una estafa de reembolso). A partir de ahí, MBH puede obtener un montón de datos sobre ti.

Un poco más de ingeniería social y ahora MBH tiene acceso a tu cuenta de Apple, por lo que pueden ver que estás pagando Uber Eats con tu tarjeta de crédito a través de Apple Pay. También pueden haber robado algunas credenciales del sitio, por lo que ahora pueden iniciar sesión en Uber Eats y ver su historial de pedidos. Sí, dos combos de pollo asado al horno, usando algún cupón específico, para ser entregados en la casa de tu amante.

De hecho, ¿es posible conectarse en tiempo real a varias redes de pago? Además, ¿no dirá la transacción sólo "88,50 libras esterlinas en McGregor Inc, Snow Hill"?

Tienes razón en que las transacciones mostrarán información muy limitada. Si todo lo que tienes son los datos bancarios o de la tarjeta de crédito, puedes ver cuándo se hacen las compras y por qué valor, y quién es el comerciante, pero no obtienes datos específicos del pedido.

Sin embargo, se pueden inferir cosas. Si alguien compra en un sitio con un pequeño número de productos disponibles, y si los precios de cada producto son muy diferentes, se puede deducir más o menos lo que la persona está comprando.

Esto es hasta donde llega MBH si todo lo que tienen es acceso a su cuenta bancaria y tal vez algunas cuentas del sitio. Suponiendo que tengan las credenciales de administrador de una tienda, de modo que puedan ver todos los datos de los pedidos, pueden rastrear tus hábitos de compra sin necesidad de saber nada de tus tarjetas de crédito: los pedidos tienen datos de los productos y direcciones de facturación y envío que están separados de los datos de las tarjetas de crédito.

¿Y si tiene tarjetas con diferentes nombres? ¿Qué es lo que realmente se rastrea? Tengo una tarjeta J Smith, otra Jane Smith, la tercera Mrs J K Smith y la amex Dr Jane Knutt Smith. Las dos primeras tienen la dirección de facturación en mis padres.

Suponiendo que MBH tenga acceso a los sistemas internos de una tienda, puede saber que una tarjeta de crédito con un número determinado se utilizó para pagar un pedido en un momento determinado, con unos productos concretos, para una o varias direcciones de envío y una dirección de facturación. Algunos integradores online validarán que la dirección de facturación es la misma que la de la tarjeta de crédito, otros no.