Falsetti, el canillita persistente que no sabía googlear: ¿se puede calcular el número de una tarjeta de crédito?
/https://assets.iprofesional.com/assets/jpg/2022/05/536543.jpg)
Los medios bautizaron el hecho que todavía se investiga como "El caso del canillita genio" que habría comprado servicios de recarga de cable con tarjetas inventadas gracias a que encontró el algoritmo para crear los números de tarjetas de créditos con un simple bolígrafo y papel.
Pero realmente lo que él hizo fue descubrir que hay una relación numérica en las tarjetas de crédito que con una simple búsqueda en Google se habría ahorrado las 29 páginas de notas y conclusiones infantiles.
Y ni hablar si hubiera usado un generador de tarjetas de crédito libre de uso en Internet.
Entonces, ¿cuál es la relación que existen en las tarjetas de débito y crédito que habría deslumbrado a Falsetti por días y cómo fue que con eso habría llegado a comprar servicios?
Falsetti descubrió que los números como las tarjetas de crédito usan un último número para verificar la integridad de los números que están a la izquierda.
Tanto las tarjetas de crédito, débito, números de Cuit, son números que al ser ingresados, repetidos telefónicamente o escritos, son susceptibles a que sucedan errores accidentales del tipo del que hacemos los humanos.
Por lo tanto, antes de aceptar una cadena de números sería bueno saber si está completa y no hubo ningún error.
Es por eso que se agregó un dígito verificador tanto en el CUIT como en los números de Tarjetas de Débito y Crédito.
Ese último número de la secuencia es producido por el Algoritmo creado por Hans Peter Luhn en 1954.
Por ejemplo tomemos el caso de una tarjeta de crédito de mi propiedad ya vencida:
5323 - 8449 - 1587 - 7245
En este gráfico se puede ver cómo se calcula:
- Se escribe la secuencia numérica completa
- Se multiplica por 2 las posiciones pares
- y número por número se suma con las posiciones impares (ver gráfico)
El resultado de sumar todos los números uno por uno da 80 y si lo divido por 10 da 8, entonces si no existe "resto" de la división es porque el número está ok.
Este algoritmo tiene sus limitaciones en los errores accidentales que detecta pero sin duda su implementación está aceptada en todas las industrias como un filtro de errores.
Falsetti se deslumbró por esta relación que él desconocía y entró a tallar números, pero su observación fue más allá.
Ya teniendo el último número que aprendimos que es el verificador de Luhn, ¿qué otras relaciones trazó el genio canillita?
Los números de las tarjetas de múltiples usos, entre ellas la de crédito y débito, son asignadas según un estándar de normalización de la industria.
5323- 84 (así comienza la tarjeta de ejemplo)
- 1er dígito: 5. Este primer número indica que es un banco y está reservado 4 y 5 para instituciones bancarias y financieras
- 323 - 84: estos cinco indican mi banco y la red Visa, Mastercard etc.
- y finalmente hasta el anteúltimo número que es el verificador de Luhn se encuentra el número de la cuenta asignada a mi persona que según el banco y sus medidas de seguridad este será lineal o no.
En este caso, lo que se desprende de las anotaciones es que habría partido desde una par de tarjetas génesis, o sea, reales que tuvo acceso.
Y de allí fue trazando teorías que lo llevaron a ver una relación no solo en el código de verificación Luhn y un patrón de código de banco y emisor que se mantenían y fue probando números de cuenta en los últimos números de la secuencia que es donde cambia continuamente según se interpreta en sus confusas teorías escritas en la libreta secuestrada.
Hasta acá podemos validar que podemos crear un número de tarjeta de crédito válido, o sea, que tiene un banco emisor, ya que conozco la estructura de la cadena numérica y sé calcular el último número que es verificación, y con solo ver unas tarjetas más puedo predecir números de cuentas.
¿Pero cómo supo la fecha de vencimiento que están entre sus anotaciones?
Claramente esto es porque su "inspiración" partió de una tarjeta génesis o real donde posiblemente sumó un número más al anteúltimo número y una vez que el código verificador le daba ok sabía que la fecha de emisión posiblemente estaba dentro del mes de la tarjeta génesis original.
¿Y cómo supo el código de seguridad CVV que va detrás de la tarjeta?
Ahora sí es en dónde hay que reescribir los títulos y recalcar que si este hecho es como lo investiga la policía, el canillita no es un genio sino que es PERSISTENTE.
Leyendo sus anotaciones, es muy posible que de un número de tarjeta válido inventado como antes lo explicamos comenzó a probar por fuerza bruta los CVV uno por uno, ya que tiempo tenía por lo que se ve anotado, y en 3 caracteres de código de seguridad hay solo 999 posibilidades.
¿Pero qué significa esto?
Que teniendo el número de tarjeta de crédito válido, fecha de vencimiento válida y haberle "pegado" al CVV, ¿ya puedo hacer una compra de cualquier cosa? No, y acá está el detalle.
Él compró lo que pudo comprar con estos números, o sea servicios que típicamente se recargan vía un IVR en donde se introducen sólo números y no caracteres como el titular de la tarjeta de crédito que no puede adivinar.
Y por eso su radio de acción solo fue empresas de recarga de sistema de televisión satelital.
¿Qué nos deja el caso Falsetti?
Si bien se está investigando, lo que se deja ver en los medios es:
- Las número de las tarjetas de crédito se puede crear y ser válidos
- Si no hay una inteligencia en cómo se plasma el número de cuenta según el banco que emite, puede calcularse la fecha de vencimiento
- Que las tarjetas son inseguras por concepto y que escribir el password o código de seguridad CVV en la parte de atrás y que este sea tan solo de 3 dígitos no es tan buena idea.
Los tiempos de transición de los diarios y revistas en papel, han aportado y logrado espacios de creatividad y reflexión que de ser cierto llevaron a un canillita a descubrir algo que se googleaba en 3 minutos y ser reconocido como genio en donde el título más acertado era "Falsetti el canillita persistente que no sabía googlear"