¡Cuidado! Encuentran fallo en tarjetas de crédito y roban dinero sin usar el PIN

A pesar de que el uso de las tarjetas de crédito es popular, su sistema de seguridad no es 100% seguro.

Las tarjetas de crédito son un medio de pago que aspira a eliminar el dinero físico. Pero a pesar de su gran popularidad, y más sobre todo después del Covid-19, está lejos de ser un sistema 100% seguro.

¿Su último problema? Un grupo de expertos en seguridad ha encontrado la forma de clonar su funcionamiento sin necesidad de usar el PIN.

Nuevo ataque

Los investigadores de ciberseguridad han revelado un ataque novedoso que podría permitir a los delincuentes engañar a un terminal de punto de venta para que realice transacciones con la tarjeta sin contacto Mastercard de la víctima mientras creen que es una tarjeta Visa.

La investigación, publicada por un grupo de académicos de ETH Zurich, se basa en un estudio detallado en septiembre pasado que profundizó en un ataque de omisión de PIN, que permite a los malos actores aprovechar la tarjeta de crédito Visa EMV robada o perdida de una víctima para realizar compras de alto valor sin conocimiento del PIN de la tarjeta, e incluso engañar al terminal para que acepte transacciones con tarjeta no auténticas.

"Esto no es sólo una confusión de marcas de tarjetas, sino que tiene consecuencias críticas", dijeron los investigadores David Basin, Ralf Sasse y Jorge Toro.

"Por ejemplo, los delincuentes pueden usarlo en combinación con el ataque anterior a Visa para también eludir el PIN de las tarjetas Mastercard. Las tarjetas de esta marca se presumían previamente protegidas por PIN".

También puedes leer: Paso a paso para cancelar tus tarjetas de crédito

Reforman los mecanismos de defensa

Tras la divulgación responsable, los investigadores de ETH Zurich dijeron que Mastercard implementó mecanismos de defensa a nivel de red para frustrar tales ataques. Los hallazgos se presentarán en el 30º Simposio de Seguridad de USENIX en agosto a finales de este año.

Cuando una transacción se hace con una tarjeta VISA o MasterCard, se usan sus respectivas redes para procesarla. Cada tarjeta tiene un identificador único para activar el kernel que redirige a su respectiva red de pago.

Estos identificadores, llamados Application Identificar (AID), son los vulnerables al ataque, al no estar verificados en el propio terminal de pago.

Con ello, se puede activar un kernel falso y hacer que un banco acepte transacciones sin contacto de tarjetas de diferentes fabricantes. En definitiva, el atacante realiza simultáneamente una transacción Visa con el terminal y una transacción MasterCard con la tarjeta.

También puedes leer: ¿Miedo a las tarjetas de débito?. 5 Beneficios de uso

El método de ataque

Para poder llevar a cabo el ataque, es necesario que el atacante tenga acceso a la tarjeta física real o un celular que la tenga asociada.

También es necesario poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al correspondiente receptor. Mediante su app, los investigadores consiguieron saltarse la verificación por PIN para las transacciones con tarjetas de crédito y débito de MasterCard y Maestro.