magneticas_bancarias

MAGNETICAS BANCARIAS by stretchmame32 ESTO ES POR HABERME ROBADO EL BANCO BANORTE MI DINERO

Magnéticas Bancarias

by

STRETCHMAME32

LA VENGANZA ES DULCE MALDITOS BANCOS RATEROS DE MIERDA, ME HAN ROBADO A MI Fecha primera revisión: Versión:

Febrero 2010

00.02

Indice

Disclaimer .......................... ....................................... ......................... ......................... ........................... ............................. .............................. ............................ ........................... ..............

2

Historial de revisiones revisiones ................... ................................ .......................... ........................... ........................... ........................ ......................... ........................... .................... .......

3

Mail y clave clave pública .............................. ......................................... ......................... ............................. ............................ ............................. ............................. ..................... ........

3

Presentación Presentación y objetivos ............................. .......................................... ............................ ............................. ....................... ......................... ............................. ................ ...

4

Requisitos mínimos y conocimientos conocimientos previos .......................... ........................................ ........................... ......................... ......................... ............... ..

4

Abreviaciones Abreviaciones y palabrejas raras .......................... .......................................... ............................. .......................... ......................... ......................... ................... ......

5

Introducción Introducción y datos datos generales generales ................ ............................. ........................... ........................... .......................... ......................... ......................... ...................... .........

5

Y dijo la tarjeta: tarjeta: “no me toq toques ues los los tracks” ............................ .......................................... ........................... ......................... ......................... .................. .....

6

Track1 .......................... ........................................ ......................... ........................ ........................... ............................. ........................ ....................... ............................. ........................ .........

7

Track2 .......................... ........................................ ......................... ........................ ........................... ............................. ........................ ....................... ............................. ........................ .........

10

Más sobre el PAN .......................... ..................................... ........................ ............................. ............................. ...................... ....................... ............................. .................... .....

11

Más sobre el PVV ........................... ....................................... ......................... ........................... ........................... ........................ ......................... ........................... .................. .....

15

Más sobre el CVV .......................... ..................................... ........................ ............................. ............................. ...................... ....................... ............................. .................... .....

16

Cosas varias y notas finales .......................... ........................................ ........................... ............................ ......................... ....................... ............................ ...............

17

Agradecimientos Agradecimientos .......................... ....................................... .......................... ........................... ........................... ........................ ......................... ........................... .................... .......

18

Despedida Despedida y cierre del chiringuito ............................ ......................................... ........................... ........................... ......................... ......................... ................. ....

18

1

MAGNETICAS BANCARIAS by STRETCHMAME32

facebook, twitter, hi5, messenger, magnetizadora para clonar tarjetas, software exeba, skimmer

Disclaimer El contenido de este manual tiene una finalidad exclusivamente educativa e informativa. Todo lo que aquí se expone es totalmente público y resulta de una simple recopilación de datos de la red. clonar tarjetas, equipos para clonar tarjetas bancarias, clonacion de tarjetas, skimmers, msr206 Por lo que al manual en sí se refiere, pues se puede distribuir únicamente de forma libre y gratuita, en el formato que sea, pero de forma íntegra. Es decir, no podéis distribuirlo cortado o con su contenido alterado. Y mucho menos lo podéis vender o pedir algo a cambio de su distribución (como mucho las gracias). Aunque dudo que nadie estuviera dispuesto a pagar nada por él. Tampoco se puede distribuir conjuntamente con un hardware que sí se vende. En general no quiero que este manual se cuelgue en las típicas webs de venta de material electrónico. ¿Qué pasará si igualmente hacéis algo de todo esto? Hombre, no estaré allí para abofetearos, pero quizás me puteo y no hago más manuales. De todas formas, si tenéis problemas con el formato o necesitáis usar algún trozo, pues no dudéis en escribir a la dirección de correo que más abajo sale. pongo a la disposicion publica una web en donde hay muchas personas que fueron robadas por los bancos mexicanos, de una forma puerca e impunemente valiendoles madres simplemente les robaron http://www.robosbancarios.com si ya fueron robados, ahora venguense de los bancos y desquitense clonando los plasticos je je je descargate gratis todos los archivos desde aqui http://www.megaupload.com/?d=WXI9E4X0

en cuanto al material necesario para construir su propio

clonador de

tarjetas con banda magnetica

1 microcontrolador pic12f509 ya grabado con el programa: card509.hex

card509.asm

la version original usaba un pic12c509 si lo consiguen usen este funciona igual 1 lector de banda magnetica para el segundo track modelo ZU-1402MY PANASONIC si tienes problemas para conseguir el lector nuevo, no se preocupen pueden conseguirlos muy facilmente en los tianguis estos vienen en las terminales bancarias y muchos weyes venden estas de chachara, los tianguis de la cd de mexico en donde se consiguen son estos: TIANGUIS DE SANTA CRUZ MEYEHUALCO DIAS MARTES Y VIERNES EN IZTAPALAPA TIANGUIS DEL SALADO CARCEL SANTA MARTA ACATITLA DIA MIERCOLES IZTAPALAPA TIANGUIS DE LA SAN FELIPE EN

LA DELEGACION GUSTAVO A MADERO "lasanfe"

TIANGUIS DE SAN JUAN EN LA DELEGACION IZTA PALAPA AV TEXCOCO DIA DOMINGO EN http://www.mercadolibre.com.mx HAY 3 VENDEDORES QUE VENDEN ESTOS LECTORES SE ANUNCIAN SIEMPRE, PERO CON UN POCO DE SUERTE Y LOS ENCUENTRAN. 1 circuito integrado max232 para conectar el pic al PC por el puerto serial rs-232 1 software llamado docklight para instalarlo en el PC y ver toda la informacion de la tarjeta SI HAZ CONSEGUIDO Y ARMADO TODO Y NO TE FUNCIONA, REVISALO BIEN O MANDAME UN EMAIL Y TE DIRE COMO TIENES QUE ARMARLO PARA QUE TE FUNCIONE!

2


Historial de revisiones -

Creación del manual en marzo del 2004. Versión 00.01 Revisión del manual en febrero del 2010. Versión 00.02: simplemente cambio la parte de mail y clave pública, el contenido no es revisado ni actualizado pero diría que sigue vigente en un 99%.

Mail y clave pública He abierto un mail para aquellos de vosotros que queráis hacer aportaciones, sugerencias, críticas, correcciones, preguntas o lo que sea, que no tienen porque ceñirse al contenido de este manual. Esta dirección es: [email protected] Es posible que se den correcciones y/o ampliaciones del manual, y por lo tanto nuevas versiones. Si me avisáis acerca de donde colgáis este manual en la web, intentaré manteneros al día si se dan actualizaciones u otros nuevos manuales. También me podéis pasar un mail que guardaré por ahí. Para los que uséis PGP, la clave pública que he vinculado a esta dirección de correo electrónico es: -----BEGIN PGP PUBLIC KEY BLOCK----Version: PGPfreeware 6.5.8 for non-commercial use mQGiBEtwFV4RBADIPsCp4zYDkcl4I0z8oul6iAbB1mVnYJHIKNhSmYuimLhf93GZ Qjf7+gOPqzzeg3q8ROgXUWrW2E2uSAhrhyY1bDje8O1XyK0mmkKx+ZXzsUvYGLkX O62dA59f4sOSowdqhCXWtZK//AiP5ljuOvibU9iZmqG1xrATZqfBGIoMFQCg/5FU sgUZ0vq6lWGS9jxfQgK9rCED/3rhM3QngJ1+dhBL6dm+6VHcfP7TBS3yRAgEERTl PHibvzL3yR3i/EFHVuS28XjuMBO9Ysv6Kgdb2cO8OxgmJ0Ogi63paSilFw6hE2xn mD8P3ggjX7WhVaX3Me/D/Ua22XBa4CX80hZ6luKHMPfYZDs48SkLVqcu4Filb3SL +cToA/9t20KVuZN/TFmNAXma5EJ5L7ru2AT0rqkeigFwJBKT9yLdgoqKRADjxTgT AmI55hk000AYYTwmzn6BMKm5gKVAnNfz8so0de0sr07QNLcCIzqvp6HFD4OQV5pV 6wsMsTn+TWoJpkLOjjDQRWq33Uh3Xzn1xzQIukq92LT66OMVi7Qiam9obiBrYW5t YW4gPGthbm1hbjIwMjBAeWFob28uY29tPokATgQQEQIADgUCS3AVXgQLAwIBAhkB AAoJEFY3pSdXfMl/lakAn3pl9NZWNujB1YgOXV1oI5ZCsqZFAJ9fp8BKmgkYw3VH iMYuByA8FgnYErkCDQRLcBVeEAgA9kJXtwh/CBdyorrWqULzBej5UxE5T7bxbrlL OCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHTUPj1WV/cdlJPPT2N 286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq01uejaClcjrUGvC/ RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD8KVbGI2O u1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcKctaGxAMZyAcpesqV DNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TILOwACAggAydXnRQZ/ gazmZAnk23HiZpXy9L+B/WjND/HFqjflikvmh+QtJESZi+cfNInfZ3p3oSgcO463 thqccaXhzXzSlt3rsYUGD7q1VLv3K2TyyZ9Hq4AU7KnP8WaxOJlMGUoIAWOyjk86 5teNsUYBkieD6i5r+NT9Oqt0jhkMquMy4kZRnaWMCRTjgz+KUcYpmu5g1Qm1QKZL F8whd790y2N3Na+VuNRkjJqIyZKcJZKEGmgqX3EX7puQxmwjzZSpTBI8RK1lviSN G/WaJGFn6TiztBDRfBNPPz3yUyYfieEKtGvAff3QRlMbas5KmGQhJNkXklnAj9OT mrhGGoPN5vxPCokARgQYEQIABgUCS3AVXgAKCRBWN6UnV3zJf7E6AKCzrJzjdxFQ uq67TcmxpyjGMF2mWgCgnKzGpANkJjYzFzky12Abegoi9SI= =wv5R -----END PGP PUBLIC KEY BLOCK-----

Los que uséis PGP, acordaros de añadir en el mail vuestra clave pública. 3


Presentación y objetivos Voy a tratar de contar lo básico de tarjetas bancarias (magnéticas), a ver si de una vez por todas se consigue un manual con lo más simple de las bandas de nuestras visas. Aunque todo lo que voy a contar es totalmente público y se encuentra en la red, pues ya sabéis: un palo tener que buscarlo, traducirlo, sintetizarlo y hasta leerlo! Se trata de compactar el tema y hacer un doc que resulte más asequible y agradable de consumir (un poco rollo, eso sí...). Nos vamos a quedar en el contenido de la tarjeta, es decir, no vamos a ver nada del proceso de transacción (lo que hacen las máquinas con ese contenido), aunque lógicamente, algo de ello se desprende directamente de la explicación del contenido de la tarjeta. Aun así, habría mucho más que contar sobre el proceso de transacción, y en el momento de escribir esto, lo continuamos investigando (no sé porque hablo en plural, pero en fin...). Lo dejamos, pues, para más adelante. El objetivo principal de este manual es mi entretenimiento y satisfacción personal. Y si encima sacia la curiosidad de alguno, pues todavía mejor. A ver qué sale...

Requisitos mínimos y conocimientos previos Esto quizás forme parte algún día de un verdadero manual de tecnología magnética, que sería el proyecto realmente interesante de llevar a cabo. Si esto sucede, pues en un solo manual se añadirán todos los conocimientos necesarios para entender este doc. Esto no ha sucedido de momento (voluntarios?). Por lo tanto, me veo obligado a dar por supuesto que se conoce la base de funcionamiento de la tecnología magnética así como el estándar ISO de tarjetas de banda magnética (definida en las normas ISO número 7810 y 7811) que da lugar a la física de las tarjetas y a su sistema y características de grabación, así como a dos juegos de caracteres (BCD y ALPHA) que tampoco voy a explicar. Nosotros, digamos que nos vamos fijar en una modalidad de tarjeta ISO-7811 que es la tarjeta bancaria. Las tarjetas bancarias se basan en estas dos normas y se acaban de perfilar (sobretodo en cuanto a contenido) con tres normas ISO más (si, todavía más). Básicamente nos interesa la primera (y en esta sí que nos vamos a centrar): ISO-7813 ISO-7812 ISO-4909 En realidad también dicen cosas importantes las otras dos. Estas normas no serán transparentes para vosotros, es decir, no las vamos a repasar ni las vamos a ver directamente. Su contenido quedará implícito en las explicaciones de este manual, aunque haré alguna referencia al principio, pero lo justo para situarnos (por cierto, si alguien tiene estas normas, pues... que rulen, no?). Lógicamente, hay mucho más que contar aparte de lo que sale en esas normas. Demasiadas cosas las definen los propios sistemas de pago como VISA o MC. Para los que no saben nada acerca de magnéticas, voy a dar un par de directrices para acceder al contenido de la banda: 1) Comprar un lector de tarjetas magnéticas. este se consigue de terminales bancarias viejas 2) Pasar la tarjeta a través de su ranura. tal y como lo haces en el cajero automatico 3) Mirar lo que sale en el monitor de tu PC. y dadle el uso que querais, al fin es tu banco je je 4


Bien, una vez hecho esto, nos olvidamos sobre como acceder al contenido de una tarjeta magnética. Sé que sobra el recochineo pero entenderéis que, o intento ceñirme a un tema o nos van a dar las uvas. Los que no sepan nada de magnéticas pues que se muevan un poco para coger una base mínima. Como ya he dicho, este manual se puede ir completando en el futuro con otros, o quizás se pueda ampliar poco a poco. El tema que trataremos no es el más básico, ni tampoco el más avanzado. Simplemente ahora me apetece hablar de esto. Por lo tanto, el máximo provecho de este texto, creo que lo van a sacar las personas algo-pero-poco iniciadas, que alguna vez han jugado con una tarjeta de banda magnética. Aunque espero que también sea útil para que, los que desconocen totalmente el tema, aprendan alguna cosa. La gran ventaja de este mundillo es que los conocimientos de electrónica son secundarios (en la iniciación), o sea que cualquiera puede aspirar a entender de una tacada el manual entero.

Abreviaciones y palabrejas raras Usaré pocas abreviaciones que sinó no sirve para nada abreviar, verdad? Solo pongo en este apartado las abreviaciones que forman parte de temas que se dan por supuestos. El resto se definirán en su momento a lo largo del texto. ES: End Sentinel LRC: Longitudinal Redundancy Check FS: Field Separator SS: Start Sentinel ISO: Incompetentes de Sabiduría Obsoleta Mi consejo es que busquéis info por la red sobre la ISO7811 para enteraros de estos términos si los desconocéis. Rula por la web una copia de esta norma donde todo esto está definido (en inglés). Como palabrejas raras (algunas también son abreviaciones, pero vamos...) usaré: ATM: Cajero automático (Automated Teller Machine) Issuer: Entidad bancaria que expide la tarjeta POS: Point of Sale (punto de venta). En español se les llama TPV (Terminal de punto de venta). Es el trasto por donde un comerciante pasa tu tarjeta. Or_DIE: jejeje, esto me lo reservo...

Introducción y datos generales Bueno, pensando en aquellos totalmente nuevos en este tema, me parece apropiado, aunque quizás me adelanto, que vean antes que nada el contenido de la banda de una tarjeta magnética. Esto es una tarjeta bancaria des de un punto de vista magnético:

%B4847025030377523^PEREZ PEREZ JUAN ;4847025030377523=04121011629109100000?= ;Quizás más info aquí...

^0412101162910000000003091744291?*

5


La tercera línea (o tercera pista, o tercer track), ya veremos si me quedan ganas para explicarla porque es un rollo y solo de pensarlo me aburro. Ya se verá en su momento. Lógicamente, está tarjeta no es válida y no podéis hacer nada con ella. En resumen, si alguna vez os hacéis con un lector y leéis la banda magnética de vuestra visa, pues os saldrá algo similar. No vamos a entender ahora de qué forma está esto contenido en la tarjeta. Este manual es más sobre el “que” y no tanto sobre el “como”. Vayamos un poco atrás. La tarjeta tiene en su “exterior” datos que se encuentran codificados en la banda y otros que no. Igualmente, en la banda magnética existen datos no impresos “fuera”. Como ya sabéis, la cara principal de la tarjeta presenta: el número de tarjeta, la fecha de caducidad y el nombre el propietario o “cardholder” (por si encontráis docs en inglés). Estos 3 datos están también codificados en la banda magnética. Al número de (habitualmente) 16 cifras que tiene la tarjeta se le llama, y le llamaremos a partir de ahora: PAN (Primary Account Number). Veremos más adelante, a fondo, sus características. De momento, todo este rollo, era solo para introducir este acrónimo y para que se os quede en el perolo (repetid conmigo: “PAN, PAN, PAN”). A la fecha de caducidad le llamaremos: “fecha de caducidad” y para el nombre he decidido utilizar el término: “nombre”. Dudas?

Y dijo la tarjeta: “no me toques los tracks” Bueno, menos payasadas y vamos al tema. No tiene mucho secreto este apartado ni los que vienen. Son 4 cosas básicas que no sé muy bien donde poner y mejor contarlo junto. No queda tan ortodoxo pero en fin... La norma define la posibilidad de hasta 3 tracks o pistas en una tarjeta bancaria (las 3 líneas del apartado anterior). La banda magnetica de una tarjeta de estas se tiene que ver como 3 trozos de cinta de cassette puestos en paralelo, cada una con su info. Cuando deslizas la tarjeta por un lector, se están leyendo esas tres pistas (a partir de ahora tracks) y como resultado, pues 3 líneas de datos. Os decía que la tercera puede estar grabada o no estarlo. Como mínimo encontrareis información en el track1 y en track2. El 3 es opcional y es muy posible que tengáis alguna tarjeta que no tiene nada grabado en él o quizás lo tenga puesto todo a cero. Os cuento el porque de eso. El track1 y el 2 se utilizan para validación de transacciones, en cambio el track3 lo usa el banco o la entidad que emite la tarjeta. Eso quiere decir que cuando vas a poner gasofa (por poner un ejemplo) y pagas con tarjeta, el track3 (en principio) ni te lo miran, ni les importa un bledo. La info importante para validar la transacción esta en el track1 y 2. Si vas al cajero de tu entidad, a parte de usar los 2 primeros (o uno de ellos, pero ya os he dicho antes el proceso de transacción lo olvidamos), puede ser que modifiquen el tercero o que lo lean, pero a veces, la mayoría, ni eso. Si cogéis una tarjeta y le borráis el track3, veréis como os sirve igual el 99,9% de las veces. En el resto de Europa, este track, está presente raramente. Muchos guiris aficionados a las magnéticas ni lo conocen y dan por sentado que una visa no puede tener 3 tracks. La verdad es que no entiendo porque en el estado español todavía tantas entidades lo graban... Este es el motivo por el que acabo de decidir no tratar el track3 en este manual. Es muy largo, poco útil y sencillamente me da pereza. Intentaré añadir alguna referencia al final del doc para que podáis obtener a través de la red su estructura desglosada.

6


Pues bien, las tres ISO de las que os hablaba al principio definen el contenido de los tres tracks de la siguiente forma: Tracks 1/2 Track 3 Varios

ISO-7813 ISO-4909 ISO-7812

De lo que se trataría ahora es de ver cada track como está estructurado. Vamos a ello.

Track1 Datos generales Longitud: Juego de caracteres: Densidad: ISO:

79 caracteres ALPHA (números y letras) 210 bpi 7813

Si todavía no entendéis alguno de los conceptos de esta tabla, es que no habéis buscado información acerca de la ISO7811. Venga hombre, la tenéis a 1 click de distancia... Bueno, vamos a recordar nuestro track1 de ejemplo: %B4847025030377523^PEREZ PEREZ JUAN

^0412101162910000000003091744291?*

Y ahora veamos este contenido desglosado: %

B

SS

4847025030377523

^

PEREZ PEREZ JUAN

^

0412

101

162910000000003091744291

?

*

PAN

FS

Nombre

FS

Fecha

SC

Discretionary Data

ES

lrc

Esta es la tabla típica que encontrareis en un montón de sitios. El fondo gris denota que el contenido del campo es variable (es lo que varia de una tarjeta a otra, casi nada, eh?). El resto es constante. Bueno, vamos poco a poco y que quede todo claro. Una vez entendido el track1, el 2 será un plis plas. Empecemos por esa ‘B’. Recordad que os he contado no hace mucho, que una tarjeta bancaria es un tipo más de tarjeta ISO7811. Pues bien, no existe un único formato de codificación, el que vamos a ver es uno de ellos y es el formato de codificación ‘B’. Siempre estará ahí si estáis tratando con una bancaria. En segundo lugar el PAN. Es el mismo que el impreso en el “exterior” de la tarjeta. No me extiendo más porque ya tengo previsto un apartado enterito para él. Al separador ni mencionarlo y nos encontramos con el nombre. Aquí sí que hay alguna cosita que contar. En primer lugar decir que existen 26 caracteres destinados a contener el nombre. Como ya veis, la estructura que sigue este campo es: “Apellido1_Apellido2_Nombre”, donde los guiones bajos son espacios. También encontrareis muchas veces que se usa la barra para separar el segundo apellido del nombre, así: “Apellido1_Apellido2/Nombre”. Si el nombre tiene menos de 26 caracteres, 7


pues se acaba de rellenar este campo con espacios. Si contiene más de 26 pues se trunca por la derecha (empiezan cargándose el nombre, parcial o totalmente). Como curiosidad, mencionar que este campo puede no estar exactamente igual en la banda que en el “exterior” de la tarjeta. Pueden haber sobretodo abreviaciones en uno u otro lugar que dependen de los respectivos espacios o de lo burro que sea el que codifica. Por ejemplo, en el exterior podéis encontrar “J. Juan Perez Perez” y en la banda “Perez Perez/Jose Juan ”, o al revés. En resumen que una cosa es como está escrito el nombre en la banda y otra como lo está en la tarjeta, no tienen porque coincidir (en la mayoría de casos sí). Venga, continuamos con la fecha de caducidad. Son siempre 4 dígitos y su formato es AA/MM es decir, los dos primeros dígitos para el año y los siguientes para el mes (nuestra tarjeta-ejemplo caduca en diciembre de 2004). Está al revés de como está impreso en la tarjeta. No tiene más problema. A los siguientes 3 dígitos se les llama “Service Code” (SC para los más vagos como yo). Estos 3 dígitos definen condiciones de uso de una tarjeta. Cada dígito tiene un significado y diez posibles valores (0-9). Vamos a ver la teoría y luego explicaremos lo que sucede a la hora de la verdad en la calle, que resulta bastante distinto. O sea que no se ponga nadie a memorizar nada, ni a hacer esquemas ni cosas así (que iluso que soy...). Dígito 1 Transacción

Tecnología

0 1

Internacional

2

Internacional

Dígito 3

Dígito 2 Autorización

Servicios

Req. PIN

Normal

Sin restricciones

Se requiere PIN

Sin restricciones SmartCard

Issuer

3

Solo POS Solo ATM

Issuer menos acuerdos bilaterales.

4 5

Nacional

6

Nacional

7

Privada

SmartCard

Se requiere PIN

Solo monedero elec. Solo POS

Se requiere PIN

Sin restricciones

PIN si existe teclado

Solo POS

PIN si existe teclado

8 9

Test

Bueno, esto es un poco un lío, verdad? Fijaos que el service code, en teoría, condiciona muchísimo el proceso de transacción. Le indica al “device” como comportarse. En la práctica no es así. La lástima es que no se sigue del todo esta tabla tan maravillosa que me pasó mi único amigo ruso porque la peña pasa bastante de la norma en este caso. En Spain se usan básicamente dos posibles SCs, el 101 y el 121. El primero indica tarjeta de crédito y el segundo tarjeta de débito. Si tenéis algún amigo guiri y le pedís que os deje estudiar sus tarjetas, entendereis la poca validez de la tabla, porque muchas visas pasan bastante de ella, con SCs como 210 (he visto inglesas de débito con este SC) y otras cosas que no responden para nada a la tabla anterior.

8


Parece ser que cada uno hace un poco lo que quiere con estos 3 dígitos. Otra posibilidad (no se me escapa, tranquilos) es que esa tabla que me pasaron no sea fidedigna. Permitid que lo dude, simplemente creo que no se sigue. El último campo del track1 es el más apreciado por los estudiosos de las magnéticas bancarias, y recibe el nombre de “Discretionary Data” o también se le llama “DD” o “DisData” o “Menuda putada me ha tocado descifrar”. Se define como un conjunto de caracteres que quedan libres para que aquel que codifica la tarjeta pueda llenarlo con lo que le convenga. Lógicamente en este campo es donde se encuentran los valores claves para validar un proceso de transacción. Os voy a contar lo que yo sé (que por desgracia es todo público) y si alguien puede aportar algo más, pues que piense: “de qué me sirve callármelo si todavía no soy rico...”. En nuestro caso el DD del ejemplo era: 162910000000003091744291 Existen 2 posibles escenarios: DisData con PVV o sin él. Nosotros hemos puesto de ejemplo una tarjeta con PVV. Es lo que veremos primero, y luego ya matizaremos. A los 5 primeros dígitos se les llama PVV (Pin Verification Value) y permiten, como su nombre indica, validar el PIN. Lo que hace el sistema es, a partir de ciertos datos de la tarjeta, el PIN introducido y una clave criptográfica, se realiza una operación compleja y se comprueba si el resultado coincide con, en este caso, 6291. Dejemos claro que el PIN NO es 6291. El PVV es un resultado que deriva de una operación compleja en la que interviene el PIN, pero no es el PIN en si mismo, solo es el resultado de esa operación. El ‘1’ inicial es el PVKI (Pin Verification Key Indicator) que le dice al sistema qué clave utilizar para hacer esa operación compleja (triple-DES). No he visto otro número para el PVKI que no sea ‘1’, pero teóricamente puede ser un valor entre ‘1’ y ‘6’). La idea es que si una clave es comprometida, pues se pueda cambiar a usar otra, solo cambiando este dígito, para evitar fraude. El hecho que siempre sea ‘1’, indicaría que el sistema no ha sido comprometido. Más adelante, en otro capítulo, hablaré un poco más del PVV, recordad que ahora, teóricamente, no estamos entrando en detalle. Vayamos al otro escenario. Algunos de los que puedan leer esto y mirar el DD de sus visas, verán a cero esas 5 posiciones. A ver si me sé explicar con claridad. El PVV permite una cosa muy práctica, que es validar el PIN off-line. Es decir, fijaos que, si un cajero automático tiene las claves necesarias, puede comprobar el PIN sin necesidad de conectar con ningún servidor que tenga una base de datos de PINs (siempre cifrados, el PIN “tal cual”, por norma, esta prohibido almacenarlo). Eso no quiere decir que, si existe el PVV, no se compruebe también si se conecta con el servidor. El tema es que estas validaciones off-line cada vez son más raras. Se tiende a validar on-line, y por eso el PVV parece que tiende a desaparecer. De ahí la existencia del otro escenario del que os hablaba: sin PVV, es decir, todo a cero. Espero que se hayan entendido un poco las dos opciones. Uno puede practicar con su visa cambiando PINs y viendo que pasa. Si tenéis PVV, veréis como se recalcula, en cambio si lo tenéis todo a cero, teóricamente, debería permanecer igualmente a cero (existe una explicación en caso de que cambie pero ya por no liar más...). Creo que es un buen momento para hacer un par de puntualizaciones sobre el PIN. Una vez más hablamos de criptografía simétrica de 128bits (112 útiles para ser exactos con triple-DES), por lo tanto, todo este tema es más por culturilla general que por otra cosa. NO se pueden generar PINs alegremente como dicen algunos que hacen. No os lo creáis. La mayoría son estafadores que pretenden vender cosas inexistentes. La gente va de culo. Al mencionar la palabra “PIN” en este doc ya asumo que el mail que he puesto arriba se llenará de correo de gentuza que me ofrecen la mitad del botín si les genero PINs de las tarjetas robadas que tienen... También saldrá algún iluminado diciendo que él sí tiene un programa que genera PINs. Dejad que aproveche la ocasión para aclarar algo. Existió en el pasado un programa (seguramente corre por la red todavía) que permitía extrapolar 9


PINs de ciertas tarjetas de crédito. En concreto del sistema bancario alemán. el CCC (Computer Chaos Club) aprovechó una característica especial que tenían las tarjetas de crédito alemán (y que lógicamente ya no tienen) para sacar el verdadero PIN con una probabilidad bastante alta (30% creo recordar). Eso es una realidad, está en los periódicos de esos años. Sin embargo, JAMÁS ha sido aplicable a Spain. Cuando se descubrió “el pastel”, se cambió la estructura del track3, que era donde estaba el “bug”. Por lo menos 1 de los componentes del CCC acabó en la cárcel (por cierto que al cabo de unos años apareció muerto en un parque de Berlín... Creéis que fue casualidad? Nunca lo sabremos...). Existen otros softs que te generan PINs pero previa introducción de las keys que quieras, con lo que estamos en lo mismo. Me sabe mal contar todo esto aquí, pero espero que sirva para disuadir a la mayoría de potenciales mailers de basura. Bueno, volvamos a lo nuestro. Más adelante pondré el algoritmo del PVV y quizás el de algunos tipos de PIN (existen varios formatos de generación de PINs). No sirve para mucho pero, el que lo quiera saber se ahorrará de buscarlo en la red (además le costaría un poquito de encontrar si no sabes donde buscar...). Del resto que nos queda (seguimos en el DisData del track1) pues yo identifico solo 3 dígitos más que reciben el nombre de CVV o CVC (“Card Verification Value” en las Visas y “Card Validation Code” en MasterCard). Es lo mismo, solo cambia el nombre. En nuestro track1 de ejemplo seria “091”. Para localizar el CVV pues podéis mirar la posición en la que se encuentra pero es mucho más práctico buscar 2 números de 3 cifras repetidos en el track1 y track2. Intentaré haceros memoria cuando explique el track2. Vamos a ver de forma conceptual como se obtiene y para que sirve un CVV. El CVV se obtiene de mezclar por un lado PAN+fecha+SC y por el otro una clave de 128 bits. Lo metemos en la coctelera del triple-DES y nos sale un CVV. La validación se hace de la siguiente forma: se coge PAN, fecha y SC, se aplica el algoritmo y se obtiene un CVV. Si el obtenido es el mismo que el CVV grabado en la banda: tarjeta buena. Lógicamente existen varios tipos de validaciones que pueden incluir otras cosas. En eso no entramos porque estaríamos otra vez en el proceso de transacción que estamos ignorando (bueno, lo estoy ignorando yo). También en posteriores capítulos trataré el CVV con más detalle. De momento solo me interesa dejar claro el concepto. En el momento de escribir este doc está apareciendo mucha gente que asegura poder generar CVVs. Supongo que será otra bola, como siempre ha sido des de el principio de los días, y sinó tranquilos, que ya nos enteraremos en la tele. Por lo que respecta al resto de valores o números del DisData, pues lo desconozco, lo siento. Algunas veces están todos a cero, otras no, algunas veces solo existen 1 o 2 dígitos distintos de cero... En fin, toda aportación será bien recibida. Acabamos con el track1. No desesperéis... Ahora el track2 es coser y cantar...

Track2 Datos generales Longitud: Juego de caracteres: Densidad: ISO:

caracteres BCD (números) 75 bpi 7813

10


Bueeeeeno. Más madera... A ver, el track2 de nuestro ya sobado ejemplo era: ;4847025030377523=04121011629109100000?= Veremos el contenido desglosado (más rápidamente porque ya sabemos mucho) y luego haremos un poco de comparativo con el track1. ;

4847025030377523

=

0412

101

1629109100000

?

=

SS

PAN

FS

Fecha

SC

Discretionary Data

ES

lrc

Fácil verdad? Es como una especie de contracción del anterior, hasta el punto que no voy a explicar nada de los primeros campos (es evidente) y voy a por el DD. El track2, a menudo permite reconocer mucho más rápidamente el CVV porque fijaos que está justo detrás del PVV y el resto a cero. Permitidme un pequeño inciso. Si este doc ha caído en manos de alguien mínimamente experimentado, debe hacer ya bastantes párrafos que debe echar en falta algunas puntualizaciones acerca de la estructura del Discretionary data. También en este caso, las cosas no son tan “cuadriculadas” (por desgracia) como os las estoy pintando, pero estamos aprendiendo, y por eso simplifico (tengo sensación de haber dicho esto antes... jejejeje). En su momento ya se harán comentarios sobre variaciones. Continuemos. A ver, estábamos en el DisData del track2. Vemos que aquí es más fácil distinguir el CVV. Muchas veces después del CVV está todo a cero, otras no. Sea como sea, si no lo vemos claro porque las cosas no son como yo os digo, una manera de localizar el CVV es comparando de derecha a izquierda el track1 y el 2, buscando 3 dígitos consecutivos iguales. Así de fácil. En realidad un CVV puede tener una longitud diferente a 3 dígitos (entre 1 y 5 si no recuerdo mal), pero todavía no he dado con ninguno de esos. Aunque solo tengo acceso a las tarjetas de mis familiares y amigos que tienen suficiente confianza en mi para dejármelas. Bueno, he dicho que haría una comparativa, pero también me parece innecesario. En todo caso, para que veáis la variabilidad que puede haber entre tarjetas y entre parejas track1-track2, pues cuando toque pondré ejemplos inventados para que se vea que no todo es tan bonito en el mundo del bandazo magnético.

Más sobre el PAN Bueno, este capítulo es bastante agradecido. Espero no olvidarme nada porque hay muchas pequeñas cosas que contar. Ya sabemos lo que es el PAN, verdad? Pues claro. Vamos a ver como se estructura. PAN = 4847 0250 3037 7523 La longitud de un PAN es habitualmente de 16 dígitos. Para algunas visas (dudo que veáis alguna) pues son 13 dígitos (la inmensa mayoría ya sabéis que tiene los 16) y las American pues creo que tienen 15, si no recuerdo mal (esos a su bola...). También existen PANs de 14. Aquí trataremos con PANs de 16 dígitos que se ajusten a la ISO-7812 (Visa y MasterCard lo hacen) porque es lo más común. Veremos las cosas como hemos hecho hasta ahora. Primero lo básico para que se entienda mejor y luego matizaremos y entraremos en las siempre presentes variaciones. 11


Dividimos un PAN en 4 partes:

4 Industria

847 02 BIN o IIN

50 3037 752 Numero Tarjeta

3 Check digit.

Comentemos cada una de ellas. El primer dígito indica la industria, porque no solo siguen este estándar los números de las tarjetas de crédito. Ahí va la lista que figura en la red sobre distintas industrias posibles (una vez más: eso según la norma, luego veremos si se cumple o no):

0 1 2 3 4 5 6 7 8 9

Otras industrias Líneas aéreas Líneas aéreas y otras industrias Viajes y ocio Industria financiera Industria financiera Industria financiera Petróleo Telecos y salud Asignaciones nacionales

En fin, eso es lo que hay, más adelante veremos otras tablas obtenidas de distintas webs de entidades financieras que concretan más. Por ahora, vemos que, por lo que a bancarias se refiere, todo nos cuadra bastante (el 4, el 5 y el 6, son los números más habituales por los que empiezan nuestras tarjetas de crédito, aunque despista un poco el ‘3’ que pone “viajes y ocio” y lo usan las American Express y otras, pero en fin...). La siguiente parte es el BIN. También se le llama IIN (BIN=”Bank Identification Number” y IIN=”Issuer Identification Number”). Ese número indica la entidad financiera que emite la tarjeta (issuer). Cada banco tiene uno o varios (normalmente varios) BINs asignados. Aunque estrictamente el BIN son esos 5 números, normalmente se consideran los 6 primeros, es decir, conjuntamente con el indicador de industria. Un banco o caja de ahorros normalmente “compra” varios BINs para distinguir las tarjetas de débito de las de crédito o incluso distintas líneas de crédito (una Visa classic acostumbra a tener un BIN distinto a una Visa oro, aunque sean del mismo banco). Veamos algunos BINs de entidades españolas a modo de ejemplo:

4506 25 4547 71 4603 32 4845 58 4966 26

Caja Madrid (Visa Classic) Caixa Catalunya (Visa Oro) BBVA (Visa Electron) La Caixa (Visa Classic) La Caixa (Visa Oro)

Ya veis que el ‘4’ es propiedad de Visa. Dentro de un rato discutiremos más detalladamente esta afirmación que acabo de hacer. Bueno, pues eso, solo los pongo a modo de ejemplo, no tienen más importancia. 12


Venga, vamos a liar un poco más el asunto poniendo una tabla que ya hace referencia solo a los BINs de bancarias:

Card Type Range Visa 400000-499999 MasterCard 510000-559999 American Express 340000-349999 370000-379999 Novus Network 601100-601199 Diners Club 300000-305999 360000-369999 380000-389999 JCB Card 352800-358999

Length 13,16 16 15 16 14,16

16

Bueno, esta tabla es ya algo más concisa (pero todavía imprecisa). Nos dice los distintos rangos de BINs según el tipo de tarjeta, así como el número de dígitos que tiene el correspondiente PAN. Los 13 y 14 dígitos de algunos tipos de tarjetas son anteriores a la aparición de la norma y se conservan por compatibilidad. Un poco lo que tiene que decirnos esta tabla es que una tarjeta que empieza por ‘4’ difícilmente no será una Visa. Las que empiezan por ’51-55’ básicamente son Mastercard, y las que empiezan por ‘3’ American. Es mejor no sacar más conclusiones de esta tabla y no tomarse nada al pie de la letra. Porque? Pues porque ahora viene otra más gorda (jejeje):

Delta 413733- 37 446200- 99 453978- 79 454313 454432- 35 454742 456725- 45 465830- 79 465901- 50 484409- 10 490960- 79 492181- 82 498824

UK Electron 450875 484406- 08 484411- 55 491730- 59 491880

Visa 405501- 04 405550- 54 415928 424604- 05 427533 428800- 99 443085 448400448699 471500- 99 471600- 99 480400- 99 (y el resto de BINs que queden que empiecen por ‘4’)

MasterCard 510000559999

Switch

Solo

JCB

Maestro

490302- 09 633450- 99 352800- 500000- 9999 490335- 39 676700- 99 358999 560000491101- 02 589999 491174- 82 600000493600- 99 699999 564182 633300- 49 675900- 99

Y sinceramente estoy casi convencido que existe alguna otra lista más detallada que relacione BIN y sistema de pago. Aunque esta no está mal (nada mal... gracias Luís!!)... Ahora bien, como saber que BIN corresponde a cada issuer? La única manera real de saber con absoluta seguridad a que entidad pertenece un determinado BIN es, o bien poseer la lista completa (eso sí sería interesante de tener...) o bien poseer (o solo ver) una tarjeta con ese BIN y fijarte en el nombre del banco que tenga impreso. También existe gente con acceso parcial a bases de datos que, indirectamente, les permite conocer los BINs de cada banco. Ninguno de ellos se ha enrollado de momento...

13


Bueno, más imperfecciones de los BINs. La afirmación inicial de que todos los BINs tienen una longitud de 6 cifras también es una verdad a medias. La realidad es que para dar más juego y tener más combinaciones, las entidades bancarias más pequeñas pueden comprar BINs de más de 6 cifras porque necesitan menos combinaciones y así dejan más números libres para otras entidades. También es posible que grandes bancos compren por ejemplo, 100 BINs consecutivos, entonces, en cierto modo, podemos afirmar que ese banco tiene un BIN de 4 dígitos. Como siempre, pues, todo es algo más complejo de lo que parece... De todas formas no me diréis que no sabéis ahora mucho más de los BINs que hace 10 minutos? Pues con eso me vale... Supongo que a algunos todo esto les choca bastante con las listas que han visto de bancos americanos. Esas listas que vienen con los programas generadores de números de tarjetas de crédito, son todas de números de 4 cifras, como si todos esos bancos tuvieran BINs de 4 números. La verdad es que lo desconozco. No sé si esas listas están mal, o si son correctas. Quizás lo eran en el pasado y ahora ya están desfasadas. Joder, menudo rollo estoy metiendo. Venga, finiquitemos este apartado. Después del BIN tenemos el numero de la tarjeta. No tiene secreto alguno. Dentro de un mismo BIN, distingue unas tarjetas de otras. Por último un dígito de control que permite checkear que el PAN sea correcto. Casi todos los trastos que leen bancarias lo comprueban. Dados los 15 primeros números, este último se genera aplicando una formula que se llama “Luhn” o “Mod-10” o “Modulus-10”. Veamos en qué consiste. A cada dígito se le asigna el siguiente peso:

Peso

2

1

2

1

2

1

2

1

2

1

2

1

2

1

2

Dígitos

4

8

4

7

0

2

5

0

3

0

3

7

7

5

2

Producto

8

8

8

7

0

2

10

0

6

0

6

7

14

5

4

‘XY’=’X’+’Y’

8

8

8

7

0

2

1

0

6

0

6

7

5

5

4

Suma

8 + 8 + 8 + 7 + 0 + 2 + 1 + 0 + 6 + 0 + 6 + 7 + 5 + 5 + 4 = 67

A ver, por si no es evidente como se llega a ese ‘67’ pues lo describo por pasos: 1.- Multiplicamos cada numero por su correspondiente peso. 2.- Si obtenemos un valor de una sola cifra, pues lo dejamos igual. En cambio si el valor es de 2 cifras (‘10’ o más) pues las sumamos (12=1+2=3, 16=1+6=7...). 3.- Sumamos todos los resultados. Llegamos así al ‘67’ del ejemplo. Entonces cogemos el siguiente múltiplo de 10 (en nuestro caso es 70) y le restamos el valor obtenido. La resta es el dígito de control. En nuestro caso es el ‘3’ (70-67). Supongo que no hay problema... Podéis coger vuestra tarjeta de crédito y comprobarlo. Si todavía quedan dudas, probad a buscar “luhn” en el google y encontrareis ejemplos a patadas, mini-programillas y demás. Por lo tanto, esos maravillosos programas que generan números de tarjetas de crédito de forma “mágica”, lo único que hacen es ensamblar un BIN con un numero de tarjeta aleatorio y cuando tienen los 15 dígitos, pues calculan el de control. Nada más que eso. Mejor te haces una hoja de calculo tu que funcionará mejor y no traerá virus... 14


Bueno, menudo rollo. Basta por hoy. Me voy a sumergir en el fantástico mundo de la electrónica (hay que reciclarse) y luego vuelvo para continuar con el manual. Vosotros no lo notareis, jejejejeee.

Más sobre el PVV Venga, aquí quiero poner el algoritmo de generación del PVV. Igualmente lo haré con el CVV. Así por lo menos existirá un doc “no oficial”, como este, con información de esta topología. Sino es algo difícil de encontrar y la mayoría de peña lo desconoce. Ya es mucho encontrarte a alguno que sepa lo que es un PVV, y normalmente cuando lo encuentras tienes que soportar como te vacila como si fuera un super-experto. Falta que le preguntes el algoritmo de generación para que deje de contestarte los mails. TODO lo que expongo se puede obtener de la web de IBM. A ver, el diagrama de flujo que describe el proceso de generación (vale también para la validación) del PVV es el que sigue:

15


Veamos les distintas partes. Lo que recibe el nombre de “TSP” son 64 bits formados por: -

-

-

11 dígitos del PAN (descartando los 4 primeros y el dígito de control) El PVKI Los 4 dígitos del PIN introducido

Eso suman 16 dígitos. A 4 bits por dígito (en binario natural), pues son los 64 bits. El algoritmo de encriptación que se usa es triple-DES, que ya sabéis que es DES simple aplicado tres veces. Para hacerlo se usa una clave de 128 bits (o 2 de 64, según como quieras mirártelo). A esta clave, aquí se la llama PGK, y se divide en la parte de la derecha (PGKR) y la de la izquierda (PGKL). Las ‘E’ son de “Encipher” y la ‘D’ de “Decipher”. Una vez realizado este triple proceso, obtenemos lo que el gráfico llama “Enchipherment Result”, que viene a ser una cadena de 64 bits. Se pasa a hexadecimal esta cadena y se cogen los 4 primeros dígitos de izquierda a derecha que estén entre ‘0’ y ‘9’ (o sea, nos saltamos A, B, C, D, E y Fs). Si habiendo hecho una primera pasada de izquierda a derecha no hemos conseguido reunir 4 dígitos numéricos, entonces hacemos una segunda pasada al revés de la primera: nos quedamos con las 4 primeras letras que pillamos y una vez reunidas las substituimos así: A = 0 ; B = 1 ; C = 2 ; D = 3 ; E = 4 ; F = 5 (vamos, que le restamos 10). Bueno, hasta aquí lo que quería añadir del PVV. Ya voy un poco a piñón porque tengo ganas de acabar este doc.

Más sobre el CVV Veamos ahora el algoritmo del CVV. Casi que no sería necesario comentar el diagrama pero que no se diga... Para el CVV se usa el PAN entero, la fecha de caducidad (como está codificada en la tarjeta), y el Service Code. Luego todo ceros hasta tener 128 bits. Entonces procedemos de manera similar al caso anterior. DES trabaja con 64 bits o sea que parte este bloque en 2 trozos de 64 bits. Cifra una vez la parte izquierda del bloque de datos con la que aquí llama ‘KeyA’, que antes era el trozo izquierdo de nuestra clave de 128 bits, luego realiza el XOR con la parte derecha del bloque de datos también de 64 bits y el resto como en el caso anterior. Una vez obtenido el resultado, pues el proceso difiere un poco del de antes. Se coge de izquierda a derecha y se buscan todos los dígitos numéricos. Se juntan por el orden en el que se van encontrando uno detrás de otro. Por otro lado se hace lo mismo en una siguiente pasada pero con las letras. Se obtiene así un segundo bloque. Se hace la conversión de las letras a números igual que antes y se añade el bloque 2 detrás del 1. Los 3 primeros dígitos empezando por la izquierda son el CVV. Fijaos que teóricamente un CVV puede tener desde 1 dígito a 5.

16


Cosas varias y notas finales Bueno, ya veis que soy un poco desordenado. Será porque tengo un conocimiento fraccionado de todo esto. Sé cosas “a cachos”. Dejad que explique algunos temas que creo que pueden ahorrarme muchos comentarios posteriores. En primer lugar, quiero aclarar aquí qué es un CVV2. Si cogéis vuestra tarjeta de crédito y la miráis por detrás, por donde está la banda y la firma, veréis que hay 3 dígitos impresos por ahí, conjuntamente, a veces, con la totalidad del PAN o parte de él. Esos 3 números son el CVV2. No confundir el CVV2 con el CVV. El primero está impreso en la tarjeta y no codificado en la banda, y el segundo al revés. El CVV2 sirve para validar transacciones no-presenciales (básicamente por internet o por teléfono). Es una medida antifraude que, de alguna forma, permite dar más garantías que la persona que está utilizando la tarjeta, la tiene físicamente en ese momento y además, permite realizar validaciones sobre el PAN y la fecha que le acompañen.

17


También se habrá dado cuenta mucha gente que he obviado bastante las American Express. Este tipo de tarjetas van un poco diferentes al resto. Aunque no mucho. Tienen varios códigos de seguridad (como si fuera un triple CVV) que también se obtienen del PAN y la fecha de caducidad. El algoritmo es similar a los ya contados. Aun así, por pereza, voy a dejar de ponerlo en el doc. Me parece que para empezar ya está más que bien con lo que hay y sinceramente, empiezo a estar harto de teclear (jejeje). Por último, un par de comentarios acerca de la variabilidad del Discretionary Data. Como ya he dicho anteriormente, si tenéis varias tarjetas de crédito y las comparáis, quizás veáis diferencias importantes con lo que os he contado. No de concepto, sino de formato. Podría ser que el CVV estuviera en otra posición o quizás el Service Code no os cuadre con la tabla que he dado... En fin, un montón de cosas. En primer lugar, no soy un gurú de esto (aunque, modestia aparte, sé un porrón más que los que van de expertos, las cosas como son...). Más bien soy un aficionado con ganas. Os puedo contar hasta donde sé y siempre en líneas generales, no tiene sentido empezar a describir tarjeta por tarjeta. O sea que hay mucho por descubrir, incluso mucho por matizar de este propio manual. Yo estaré encantado de recibir todas las críticas educadas que queráis hacerle. Para eso he puesto el mail...

Agradecimientos -

-

-

-

-

-

A mis colegas del “Freelife Project” ( Brown, Kanilla, Mac, Mi, Minjust y demás) por hacerme sentir un experto en cosas en las que soy un pringadillo más. A Txispas , por ser el primer amigo que hice por internet. A Luís por muchas cosas pero sobretodo por su envidiable capacidad de conseguir de la red lo que quiere. Además es el primer madrileño que conozco que me cae bien (juas). A Valenci (al que he perdido la pista), por compartir sus valiosos conocimientos. A Endorasoft por no cobrarnos su soft y en especial a SirGraham por esa rara habilidad de ganarse aprecio con la red de por medio. Y por último, a mi madre por haberme parido, hecho que sin duda cambió mi vida (jajaja).

Despedida y cierre del chiringuito Venga, esto se acaba. Espero que alguna cosa nueva se haya aprendido. Supongo que sí (por poquito que sea). Si habéis leído el manual entero, dudo que seáis del tipo de personas que copian tarjetas y vacían las cuentas de los demás... Por lo tanto sobran mis opiniones sobre esa gente y mis advertencias referentes a todo ese mundillo. Si algo me sabe mal de haber escrito esto es pensar que caerá en manos de los skimmers, que no merecen ni el aire que respiran. Pero en fin, si algo os puedo asegurar es que este manual NO va a hacer rico a nadie, eso seguro. De verdad espero que os haya gustado. Nos vemos en los foros. Stretchmame32 NO CONFIEN SU DINERO A LOS MALDITOS BANCOS MEXICANOS, MIERDAS

18

magneticas_bancarias

Recommend Documents