Las tarjetas bancarias de chip también pueden clonarse mediante ataques "pre-play"

El sistema CHIP & PIN (EMV) de las tarjetas de pago empleado por la mayoría de bancos Europeos y Asiáticos es definitivamente más seguro que la banda magnética, pero esto no significa que no tenga fallos.

Como sabéis, es posible comprometer la seguridad de una tarjeta
en cajeros automáticos o puntos de venta mediante lectores y cámaras ocultas que graban la información y registran los números a medida que son introducidos por el usuario, pero también hay otras maneras de hacerlo...

Recientemente, el equipo de investigadores de la Universidad de Cambridge ha descubierto un fallo en la forma en la que los algoritmos generan un número único para cada transacción que se implementa, que posibilita que un atacante pueda autorizar transacciones ilegales sin tener que clonar las tarjetas de los clientes.

"El numero único (UN) parece consistir en un valor fijo de 17 bits y los primeros 15 bits son simplemente un contador que se incrementa cada pocos milisegundos repitiendo el ciclo cada 3 minutos", descubrieron.

"Nos preguntamos si el "número impredecible" generado por un cajero automático (ATM) es de hecho predecible, lo que puede crear la oportunidad de un ataque en el que un criminal con acceso temporal a una tarjeta (por ejemplo en una tienda bajo control de la mafia) se pueden calcular los códigos de autorización necesarios para sacar dinero del cajero automático en algún momento en un futuro gracias a que el valor del UN se ha predecido".


Su investigación los llevó a concluir que el número en cuestión es predecible y que ese ataque "pre-play", aunque no es tan fácil de ejecutar y posee ciertas limitaciones, es posible y viable en la práctica a través de una serie de implementaciones que incluyen infectar con malware a los cajeros automáticos (ATM), suministrar ataques en cadena, corte del terminal, modificación del UN en red y la cooperación de un comerciante de una tienda.

Ciertos bancos, dispositivos de pago y los principales proveedores de tarjetas de crédito han sido informados de la vulnerabilidad, pero la mayoría se negó a comentar oficialmente nada sobre los resultados.

"Hemos recibido algunas respuestas informales: el alcance y la magnitud del problema fue una sorpresa para algunos, mientras que otros indicaron que ya estaban sospechando de la seguridad de los números impredecibles o incluso dijeron que otros ya habían sido explícitamente conscientes del problema durante años. Si estas afirmaciones son ciertas, son una prueba más de que los bancos suprimen sistemáticamente la información acerca de las vulnerabilidades conocidas, mientras que a las víctimas de fraude se les continúa negando reembolsos", señalan los investigadores en el paper (PDF) de 2012 que detalla el fallo y los ataques. 

"Encontramos fallos que son utilizados ampliamente en cajeros automáticos de los principales fabricantes. Ahora podemos explicar al menos parte del creciente número de fraudes en los que se les negó a las víctimas reembolsos por parte de los bancos que afirman que las tarjetas EMV no se pueden clonar y que un cliente involucrado en un robo puede ser causa de un error o de complicidad".

Fuente: Chip and PIN payment card system vulnerable to "pre-play" attacks
Ver también: Pre-Play Vulnerability Allows Chip-and-PIN Payment Card Cloning

Paper actualizado en 2014, Symposium de IEEE 2014 sobre seguridad y privacidad en San José, California: http://www.cl.cam.ac.uk/~sjm217/papers/oakland14chipandskim.pdf

Comentarios