Tarjetas de crédito

Después de encontrar una vulnerabilidad en ciertas tarjetas de crédito por primera vez el año pasado, investigadores de la Escuela Politécnica Federal de Zúrich (ETH) ahora han encontrado una manera de burlar los códigos PIN de otras tarjetas de pago.

Realizar un pago sin contacto (contactless) con una tarjeta de crédito o débito es rápido y sencillo, y ha resultado particularmente útil durante la pandemia actual. Para mayor seguridad, el usuario debe ingresar un código PIN cuando paga por encima de una cierta cantidad (generalmente 80 CHF en Suiza), al menos en teoría.

Como pudieron demostrar tres investigadores del Grupo de Seguridad de la Información de ETH Zürich, estas medidas de seguridad se pueden eludir con ciertas tarjetas. La primera vez que los investigadores pudieron documentar cómo se podían usar las tarjetas de crédito sin un código PIN fue en el verano de 2020, con tarjetas Visa. El equipo ahora ha revelado que es posible otro puenteo con otros tipos de tarjetas de pago, Mastercard y Maestro.

Los métodos utilizados por los investigadores se basan en el principio «ataque de intermediario», en el que los atacantes explotan los datos intercambiados entre dos socios de comunicación (en este caso, la tarjeta y el terminal de la tarjeta). Para replicar este efecto, los investigadores utilizaron una aplicación de Android que habían creado y dos teléfonos móviles habilitados para NFC. La aplicación indicó falsamente al terminal de la tarjeta que no se requería un PIN para autorizar el pago y que se había verificado la identidad del propietario de la tarjeta. Inicialmente, el método funcionaba sólo con tarjetas VISA, ya que otros proveedores usan un protocolo diferente (que gobierna la transmisión de datos).

Dos formas de burlar las medidas de seguridad de las tarjetas de crédito

A primera vista, la segunda idea detrás de la elusión del paso de verificación del código PIN parece simple: «Nuestro método engaña al terminal haciéndole creer que una tarjeta Mastercard es una tarjeta VISA«, explica Jorge Toro, quien trabaja en el Grupo de Seguridad de la Información y es uno de los autores de este trabajo de investigación. Toro agrega que la realidad era mucho más compleja de lo que parece, con dos sesiones que deben ejecutarse simultáneamente para que el engaño funcione: el terminal de la tarjeta realiza una transacción VISA, mientras que la propia tarjeta realiza una transacción Mastercard. Los investigadores utilizaron estos métodos en dos tarjetas de crédito Mastercard y dos tarjetas de débito Maestro emitidas por cuatro bancos diferentes.

Los investigadores informaron a Mastercard inmediatamente después de hacer su descubrimiento. Pudieron confirmar experimentalmente que las defensas implementadas por Mastercard son efectivas. «Fue agradable y emocionante trabajar con la empresa en esto«, explica Toro. Mastercard actualizó las salvaguardas relevantes y pidió a los investigadores que intentaran atacar el proceso de pago de la misma manera nuevamente, y esta vez falló. Los investigadores presentarán su artículo con una descripción completa del método en el simposio USENIX Security ’21 en agosto.

Estándar EMV como fuente de error

Los fallos de seguridad encontrados en las tarjetas de pago sin contacto se deben principalmente a EMV, un estándar de protocolo internacional que se aplica a dichas tarjetas. Los errores de lógica dentro de este conjunto de reglas son difíciles de detectar, sobre todo teniendo en cuenta que el estándar tiene más de 2.000 páginas de extensión. Los investigadores de ETH enfatizan en el sitio web de su proyecto que dichos sistemas deben revisarse cada vez más automáticamente, ya que el proceso es demasiado complejo para los seres humanos.

Fuente: EHT Zürich.

Alejandro Serrano
Cofundador de Fantasymundo, director de las secciones de Libros y Ciencia. Lector incansable de ficción y ensayo, escribo con afán divulgador sobre temáticas relacionadas con el entretenimiento y la cultura cercanas a mis intereses.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.