Ataque BIN: ¿Qué es y cómo proteger su negocio?

Febrero 9, 2023

Introducción

Para proteger a sus clientes, los comerciantes deben implementar sólidas políticas de prevención de fraude, invierte en herramientas de detección de fraude y aprende sobre diferentes tipos de fraude de pago.

Un tipo de fraude particularmente peligroso es el ataque BIN. Implica el uso de números de identificación bancaria (BIN) y secuencias numéricas generadas por computadora para descubrir números de tarjetas de pago válidos.

Descubra cómo funcionan los ataques BIN y tome las medidas necesarias para proteger su negocio.

Intento de ataque BIN donde los atacantes intentan adivinar el número de tarjeta de crédito del cliente.

¿Qué es un ataque BIN?

Un número de identificación bancaria (BIN) son los primeros 4-8 dígitos de un número de tarjeta de pago. Identifica el emisor de la tarjeta (es decir, la institución financiera, el banco), la red de la tarjeta y el tipo de tarjeta que se utiliza: un Tarjeta de crédito o débito.

Los BIN están disponibles públicamente y se obtienen fácilmente. Durante un ataque BIN, un atacante toma el BIN de un emisor y usa un software de computadora para generar los dígitos restantes del número de tarjeta del titular de la tarjeta.

Ubicación BIN en un ejemplo de tarjeta de crédito.

Una vez que el atacante genera miles de números de tarjeta, los prueba en tiendas en línea reales para determinar cuál números de tarjeta corresponden a tarjetas vigentes existentes.

¿Cómo funciona un ataque BIN?

Un ataque BIN no se dirige a un titular de tarjeta específico, sino que intenta identificar tantos números de tarjeta válidos emitidos por el mismo emisor como sea posible.

Un ataque BIN normalmente sigue estos pasos:

  1. El estafador se dirige a un emisor de tarjeta específico y obtiene su BIN de 4 a 8 dígitos.
  2. Utilizan un software especial para generar una amplia gama de números de tarjetas potencialmente válidos.
  3. Luego, los estafadores prueban los números generados al intentar pequeñas transacciones en negocios legítimos para determinar si un número de tarjeta de crédito es válido. A veces, los atacantes usan cuentas comerciales que crean específicamente para este propósito.
  4. Utilizan los números de tarjeta identificados como genuinos para realizar compras no autorizadas de alto valor.
Un atacante que usa un programa de software para iniciar un ataque BIN y robar información de la tarjeta.


Note: No es raro que los números de tarjeta obtenidos a partir de ataques BIN se vendan en la web oscura y se utilicen en otros tipos de fraude de pago, como phishing, robo de identidad y adquisición de cuenta.



¿Quiénes son los objetivos de los ataques BIN?

Un ataque BIN tiene como objetivo el número de tarjeta del titular de la tarjeta. El atacante realiza innumerables intentos con diferentes secuencias de números de tarjeta hasta que logra iniciar una transacción.

Este tipo de ataque se dirige a los participantes en el proceso de pago, incluidos:

  • Emisores de tarjetas - El atacante identifica un BIN específico e intenta descubrir tantos números de tarjeta emitidos por un banco en particular, institución financiera, aerolínea, compañía de gas, etc.
  • Comerciantes - Los atacantes a menudo se dirigen a comerciantes más pequeños que pueden no tener sistemas y procedimientos sofisticados de detección de fraude.
  • Procesadores de pago - Los Proveedores de Servicios de Pago (PSP) cuentan con sistemas avanzados de detección de fraude, pero procesan un gran volumen de transacciones. Los atacantes intentan enmascarar el origen de la transacción y limitar el número de intentos para pasar desapercibidos el mayor tiempo posible.
  • Customers - Una vez que se identifica un número de tarjeta válido, los clientes descubrirán que su tarjeta fue utilizada para transacciones no autorizadas.

Nota: Aprenda todo sobre el procesamiento de pagos en nuestros artículos ¿Qué es un procesador de pagos? and ¿Cómo funciona el procesamiento de pagos?


¿Cuáles son las consecuencias de un ataque BIN para los comerciantes?

Los consumidores no son los únicos que pierden cuando se ven afectados por un ataque BIN. Las pruebas de tarjetas de crédito también pueden tener un impacto significativo en los comerciantes, con consecuencias que incluyen:

  • Tarifas de contracargo más altas - Cualquier forma de fraude de pago puede dar lugar a devoluciones de cargo y perjudicar el resultado final del comerciante.
  • Clasificación de alto riesgo – El aumento de las devoluciones de cargo, si no se controla, lleva a que un negocio sea clasificado como de alto riesgo. No todos los procesadores de pago quieren trabajar con un comerciante de alto riesgo, lo que hace que el procesamiento de pagos en línea sea más difícil y costoso para el comerciante.
  • Tarifas de intercambio más altas - El aumento en los intentos de transacción debido a la prueba de tarjetas conduce a tarifas de intercambio más altas.
Aumento de los costos comerciales debido a los ataques BIN.
  • Restricciones de transacciones – Debido a la afluencia de intentos de transacción, los procesadores de pago pueden limitar las capacidades de procesamiento del comerciante como medida de seguridad. Si bien eso puede mitigar el ataque BIN, también evitará que algunos compradores legítimos realicen una compra.  

¿Cómo pueden los comerciantes detectar ataques BIN?

Los indicadores de que se está produciendo un ataque BIN incluyen:

  • Múltiples transacciones desde la misma dirección IP - Los atacantes suelen utilizar software rudimentario y los ataques se originan desde una única ubicación. Transacciones provenientes del mismo Dirección IP el uso de números de tarjeta secuenciales debe considerarse altamente sospechoso.
  • Múltiples compras en rápida sucesión - Una vez que se ha comprometido un número de tarjeta de crédito, los atacantes intentan realizar tantas compras automatizadas como sea posible.
Diferentes formas de detectar ataques BIN.
  • Un fuerte aumento en las transacciones rechazadas - Solo un puñado de números de tarjeta generados durante un ataque BIN es válido. Un aumento repentino de transacciones rechazadas debido a un número de tarjeta no válido es un indicador de que alguien podría estar ingresando números incorrectos por diseño.
  • errores CVV - códigos CVV son difíciles de obtener ya que son específicos de cada tarjeta. Un aumento en las transacciones rechazadas debido a entradas CVV incorrectas puede ser un indicador de que el comerciante está bajo un ataque BIN.

Prevención de ataques BIN

Los comerciantes pueden reducir el riesgo de ataques BIN implementando las siguientes medidas:

  • Controles de velocidad - Restringir la cantidad de transacciones que un cliente puede iniciar y la cantidad total que puede gastar dentro de un período de tiempo determinado.
  • Servicio de verificación de dirección (AVS) - sistemas AVS compare la dirección que un cliente ingresa en el formulario de pago con los datos que tiene registrado el emisor de su tarjeta. Esto significa que los atacantes necesitan conocer la dirección correcta del cliente antes de intentar realizar una transacción. AVS es un método económico y probado para prevenir ataques de fraude de pago no sofisticados.
  • Supervisar actividad sospechosa - Investigue siempre la actividad de pago inusual, como las transacciones que se originan en la misma dirección IP pero usan detalles de pago diferentes, los rechazos que usan el mismo número de tarjeta pero diferentes fechas de vencimiento, los rechazos con números de tarjeta secuenciales o el uso de direcciones de correo electrónico genéricas.
  • Procedimientos claros y capacitación regular del personal - Los empleados deben reconocer las amenazas comunes y comprender cómo sus acciones facilitan o previenen los ataques BIN. Necesitan saber cómo reconocer un ataque BIN y qué acción tomar una vez que se está produciendo un ataque.
  • Fichas de pago - Compruebe si su procesador de pagos ofrece características que le permitan tokenizar la información de pago. Sustituir la información de pago de identificación personal con un token aumenta significativamente la seguridad de las transacciones.
  • Autenticación de dos factores - Añadir una capa de seguridad adicional con autenticación de dos factores reduce los riesgos de fraude en los pagos. Los atacantes que buscan probar las variaciones del número de tarjeta evitan los sitios web que requieren que los titulares de tarjetas se autentiquen con su banco antes de que se pueda completar una transacción.
Cliente que confirma su identidad durante un pago.
  • Sistemas avanzados de detección de fraude - Los métodos de detección de fraude que incorporan aprendizaje automático, inteligencia artificial y modelos predictivos son costosos de implementar para los comerciantes por su cuenta. El uso de un procesador de pagos con sistemas de detección sofisticados le permite proteger mejor su negocio a una fracción del costo. Cuando elegir un procesador de pagos, obtenga más información sobre los sistemas, las herramientas y los procedimientos que utilizan para gestionar el riesgo.

¿Qué hacer en caso de un ataque BIN?

Para minimizar el daño causado por un ataque BIN y prevenir futuros ataques:

  • Comuníquese con su banco o proveedor de servicios comerciales de inmediato para informar el ataque y cerrar cualquier cuenta fraudulenta.
  • Revise sus registros de transacciones para identificar cualquier transacción no autorizada o actividad sospechosa.
  • Notifique a los clientes que pueden haber sido afectados y bríndeles información sobre cómo protegerse contra el fraude.
  • Revise y actualice sus protocolos de seguridad, incluidos sus procedimientos de validación de BIN, para garantizar que sean lo más seguros posible.
  • Los ataques BIN son un delito: informe el incidente a las autoridades.
  • Tome medidas para proteger su negocio de futuros ataques, como implementar herramientas avanzadas de detección y prevención de fraudes, y educar a sus empleados sobre cómo detectar y prevenir ataques BIN.

Es importante tener en cuenta que prevenir y detectar ataques BIN es un proceso continuo. Manténgase proactivo, tome las precauciones necesarias y controle continuamente cualquier actividad sospechosa.

Conclusión

Ahora sabe cómo funcionan los ataques BIN, las mejores formas de prevenirlos y qué hacer si su empresa es atacada.

Como comerciante, debe colaborar estrechamente con otros participantes en el proceso de pago. Encontrar un procesador de pagos confiable con un historial de seguridad impecable lo ayudará a proteger su negocio y sus clientes de los ataques BIN.

Acerca del autor.
Vladímir Kaplarevic
Vladimir es un redactor técnico residente en CCBill. Tiene más de 8 años de experiencia en la implementación de comercio electrónico y soluciones de pago en línea con varios proveedores de servicios de TI globales. Su atractivo estilo de escritura proporciona consejos prácticos y tiene como objetivo despertar la curiosidad por las tecnologías innovadoras.
Hable con un especialista en asistencia comercial