"Para retirar dinero de una tarjeta de prepago, se necesita una tarjeta para cajeros automáticos que contenga una banda magnética en la que se encuentran datos cifrados. También se necesita un PIN. El informe forense dice que estos datos y pines no se vieron comprometidos en el centro de datos ElectraCard”, de acuerdo con Ramesh Mengawade, director ejecutivo de ElectraCard Services.

 

"Sin embargo, en tres de cuatro cuentas, hubo una violación, en la cual se incrementó el límite de dinero que puede ser retirado de una tarjeta de prepago", dijo Ramesh Mengawade en una entrevista hecha en su oficina en la ciudad occidental de la India, Pune.

 

Fiscales estadounidenses dijeron que los hackers irrumpieron en dos empresas de procesamiento de tarjetas no identificadas y aumentaron los saldos y límites de retiro en cuentas, que después fueron explotadas en retiros coordinados en cajeros automáticos de todo el mundo. En conjunto, robaron un total de 45 millones de dólares de dos bancos de medio oriente.  

 

ElectraCard Services es la empresa que procesaba tarjetas de prepago de viajes para el Banco Nacional de Ras Al Khaimah PSC (RAKBANK), de acuerdo a un oficial de Estados Unidos y a un empleado del banco, quienes hablaron bajo condición de anonimato, el 21 de diciembre del año pasado, RAKBANK sufrió un robo coordinado de cinco millones de dólares en cajeros automáticos alrededor del mundo. 

 

Investigador externo

ElectraCard contrató a la compañía estadounidense Verizon Communications para investigar lo sucedido en el robo de diciembre.

Verizon es una de las principales compañías que certifican que las empresas estén apegadas a los estándares de la industria de pago con tarjeta. Los estándares son establecidos por Visa y MasterCard. También es uno de los mayores proveedores de servicios de respuesta a incidentes para empresas que son víctimas de ataques cibernéticos.

Ravi Sundaram, Director de Estrategia y Servicios Corporativos en ElectraCard, mencionó que los defraudadores entraron al sistema pero no pudieron encontrar ningún dato almacenado, además agregó que si se lograba acceder a los datos, esto no implicaría que se puedan hacer retiros del cajero automático.

La compañía cuenta con alrededor de 100 clientes a nivel mundial, todos ellos dedicados a servicios financieros. Sundaram mencionó que, a pesar del incidente de diciembre, ninguno de esos clientes había prescindido de sus servicios. Además, agregó que sus finanzas no se han visto afectadas ante estos problemas, ya que se encuentran protegidos ante situaciones de esta índole.

El jefe de la policía cibernética de Pune no confirmó si ElectraCard presentó alguna denuncia relacionada con el incidente. A su vez, Mengawade explicó que el asunto está siendo procesado por los Estados Unidos, ya que se trata de una banda internacional. Añadió que, después del incidente, las operaciones continuaron normalmente y solo se restringieron retiros de efectivo a las cuentas afectadas.

ElectraCard perdió su registro como miembro de las compañías que cumplen con estándares internacionales en la realización de sus operaciones, sin embargo aún está autorizada para realizar transacciones. Mengawade espera que para junio hayan obtenido su re-certificación.

MasterCard, quien compró 12.5% de las acciones de ElectraCard en 2010 y emitió las tarjetas utilizadas por los atacantes, dijo que su seguridad no fue comprometida.