Investigadores de seguridad informan de una nueva falla de autenticación en los pagos sin contacto con tarjetas Visa
Se ha encontrado seguridad en las tarjetas de pago Visa, lo que permite a los atacantes realizar un nuevo tipo de ataque categorizado como bypass de PIN. Esto les permite manipular los terminales de pago para que acepten transacciones con tarjetas de tarjetas no auténticas.
Un equipo de investigadores del Instituto Federal Suizo de Tecnología en Zúrich (ETH Zúrich) fue el primero en detectar esta vulnerabilidad de seguridad que podría permitir a los atacantes realizar ataques de bypass de PIN y cometer fraude con tarjetas de crédito.
Por lo general, existe un límite en la cantidad que puede pagar por bienes y servicios utilizando una tarjeta sin contacto. Cuando se sobrepasa dicho límite, la terminación de la tarjeta solicitará la verificación del titular de la tarjeta, ingresando el PIN. Pero, lo que mostraron los analistas, los delincuentes que acceden a dicha tarjeta de crédito pueden explotar la falla y realizar compras sin tener el PIN cuando el monto excede el límite.
Para que ocurra el ataque, los delincuentes requieren los detalles de la tarjeta de pago. Pueden hacerlo robando o adquiriendo a través de varios medios. La alternativa es utilizar la popular opción de escaneo NFC para escanear tarjetas cercanas y copiar sus detalles.
Para demostrar cómo se podría realizar el ataque, los investigadores han creado una aplicación de prueba de concepto especialmente para este propósito. Se utiliza para modificar el comportamiento de los terminales de pago diseñados para alterar las respuestas de la tarjeta antes de que se envíen al dispositivo.
Una vez que se realiza el ataque, los delincuentes pueden completar las compras con la tarjeta de la víctima y pueden superar el límite de menos PIN mediante la modificación de un valor llamado Calificadores de transacciones con tarjeta. Abusan de la conexión utilizando el protocolo remoto para hacer que los terminales de pago superen la verificación del PIN y confíen en que la identidad del titular de la tarjeta ya ha sido verificada.
Los investigadores probaron el ataque de derivación de PIN en uno de los seis protocolos EMV sin contacto. Sin embargo, teorizaron que esto podría aplicarse también a los protocolos Discover y Union Pay.
Los investigadores también descubrieron otra vulnerabilidad basada en transacciones sin contacto fuera de línea realizadas por Visa o Mastercard antigua. En este ataque, los delincuentes modifican los datos generados por la tarjeta llamados criptograma de transacción antes de entregarlos al terminal. Dado que en este caso los datos son verificados por el emisor de la tarjeta, es decir, el banco, los ladrones están en el viento con la mercancía en la mano.