Una vulnerabilidad de seguridad permite eludir la solicitud de PIN para un pago con Visa sin contacto. Investigadores de ETH Zurich han descubierto una vulnerabilidad que los delincuentes podrían utilizar para realizar pagos con tarjetas de crédito sin conocer sus PIN.
Un equipo de investigación del Instituto Federal Suizo de Tecnología en Zúrich (ETH Zúrich) ha encontrado una vulnerabilidad de seguridad en el protocolo EMV para pagos sin contacto del proveedor de tarjetas de crédito Visa que podría permitir a los atacantes eludir la solicitud de PIN y cometer fraude con tarjetas de crédito.
Con el pago sin contacto, suele haber un límite a la hora de pagar bienes o servicios. Tan pronto como se supera, el terminal de la tarjeta solicita una confirmación del PIN del titular de la tarjeta. Sin embargo, el nuevo estudio, titulado "The EMV Standard: Break, Fix, Verify", muestra que los delincuentes pueden explotar una falla en la tarjeta de crédito para realizar compras fraudulentas sin tener que ingresar el PIN, incluso si la suma supera el límite.
Pago de visas: demostración del ataque
Los científicos demostraron la viabilidad del ataque usando dos teléfonos Android, una tarjeta de crédito sin contacto y una aplicación de Android especialmente desarrollada para este propósito: "El teléfono cerca de la terminal de pago es el emulador de tarjeta del atacante, y el teléfono cerca de la tarjeta de crédito de la víctima es el emulador de POS del atacante. Los dispositivos del atacante se comunican entre sí vía WiFi y con el terminal y la tarjeta vía NFC”, explican los investigadores. La aplicación no requiere ningún permiso especial de root o hacks de Android.
"El ataque consiste en cambiar un objeto de datos de una tarjeta, el 'Calificador de transacción de tarjeta', antes de que se transmita a la terminal", dice el informe de investigación. Este cambio le indica a la terminal que no se requiere verificación de PIN y que el dispositivo del consumidor ya verificó al titular de la tarjeta.
Ataque de omisión de PIN
Los investigadores probaron su ataque de omisión de PIN en uno de los seis protocolos EMV sin contacto (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sin embargo, sospechan que su ataque también podría funcionar en los protocolos Discover y UnionPay, aunque estos no se han verificado en la práctica. EMV, el protocolo estándar internacional para pagos con tarjeta inteligente, es utilizado por más de 9 mil millones de tarjetas en todo el mundo y en más del 2019 % de todas las transacciones con tarjeta en todo el mundo a partir de diciembre de 80.
También vale la pena señalar que los investigadores no solo probaron el ataque en condiciones de laboratorio, sino que también lo realizaron con éxito en tiendas con tarjetas Visa Credit, Visa Electron y V-Pay. Por supuesto, usaron sus propios mapas para las pruebas.
El ataque apenas se nota
Según los investigadores, es difícil que el personal de caja se dé cuenta de estos ataques cuando realiza un pago con Visa, ya que es común que los clientes paguen los productos con sus teléfonos inteligentes. Las investigaciones también descubrieron otra vulnerabilidad de seguridad. Para transacciones sin contacto fuera de línea con tarjetas Visa o Mastercard antiguas, podrían cambiar los datos generados por las tarjetas, el llamado "criptograma de transacción", antes de que se transmitieran a la terminal.
Sin embargo, estos datos no pueden ser verificados por el terminal, sino solo por el emisor de la tarjeta, es decir, el banco. Para entonces, el criminal hace tiempo que desapareció con sus bienes. Por razones éticas, el equipo de investigación no probó este ataque en terminales de tarjetas reales.
El equipo, por supuesto, informó a la empresa Visa de sus descubrimientos.
Lea más en el blog de WeLiveSecurity en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.