Las formas de cometer fraude a través del robo de datos personales va evolucionando cada año hasta el punto de que se encuentran nuevas maneras que uno creería imposible de lograr. En esta última semana las tarjetas VISA entran en la polémica tras detectarse un método que haría posible vulnerar su seguridad y cometer fraudes sin necesidad de tener el código PIN.
Específicamente ha sido un equipo de investigadores del Instituto Federal Suizo de Tecnología de Zúrich (ETH Zúrich) quien ha reportado una importante vulnerabilidad de seguridad en el protocolo sin contacto EMV de las tarjetas Visa que podría permitir a los atacantes realizar ataques de omisión de PIN con solo tener a disposición dos dispositivos móviles a mano.
A tener más cuidado en el manejo de tarjetas VISA
Como se menciona en el reporte, habitualmente existe un límite en la cantidad que puede pagar por bienes o servicios utilizando una tarjeta de crédito sin contacto, mientras que una vez que este límite se supera el dispositivo solicitará una verificación al titular de la tarjeta a través del clásico código de seguridad PIN presente en el reverso de la tarjeta física.
Sin embargo, se ha encontrado que un delincuente que tiene acceso a dicha tarjeta de crédito podría explotar una falla en el protocolo que le evitaría tener que conocer el PIN, incluso en aquellos casos donde el monto sea superior al límite establecido.
Para llevar a cabo este proceso solo se necesitan de dos teléfonos con sistema operativo Android, una tarjeta de crédito sin contacto y una aplicación de Android de prueba que se ha desarrollado especialmente para llevar a cabo este proceso.
De esta manera, se coloca el teléfono cerca de la terminal de pago para funcionar como un dispositivo emulador de la tarjeta a vulnerar y el teléfono cerca de la tarjeta de la víctima es el dispositivo emulador POS del atacante. Los dispositivos del atacante se comunican entre sí a través de Wi-Fi, y con el terminal y la tarjeta a través de NFC.
Se ha indicado que los investigadores probaron este proceso de saltearse el PIN en uno de los seis protocolos sin contacto EMV (Mastercard-que colaboró en el desarrollo de Samsung Pay Cash el año pasado-, Visa, American Express, JCB, Discover, UnionPay), aunque se teorizó que podría funcionar también con Discover y UnionPay a pesar de que aún no se ha probado. EMV, el estándar de protocolo internacional para el pago con tarjeta inteligente, actualmente está en uso en más de 9 mil millones de tarjetas en todo el mundo.
Vía / Welivessecurity
GizLogic