En los últimos días investigadores de ciberseguridad descubrieron una nueva falla en tarjetas de crédito y débito que utilizan el estándar EMV (tecnología de chip inteligente para el procesamiento de pagos con tarjeta de crédito y débito). La falla permite a los ciberdelincuentes tener acceso a los fondos financieros y cometer fraudes a los titulares de las tarjetas. Al inicio de año, VISA advirtió sobre un nuevo skimmer (dispositivo con una ranura falsa que copia la banda magnética de las tarjetas de crédito y débito) implementado en una aplicación web con código JavaScript conocido como Baka.

Este ataque permite omitir el PIN de la tarjeta, y los atacantes aprovechan esta falla para utilizar el crédito de la tarjeta afectada, realizar compras de alto valor e incluso aceptar transacciones fuera de línea. Para llevar a cabo el ataque, los ciber actores deben tener acceso a la tarjeta, ya sea robándola o sosteniendo un teléfono con NFC cerca de la tarjeta.

El ataque efectuado por los investigadores de ETH Zurich (Instituto Federal Suizo de Tecnología de Zúrich) explota una falla crítica en el protocolo EMV que intercepta la comunicación mediante un ataque Man-In-the-Middle (MitM) a través de una aplicación Android para modificar los comandos de la terminal y las respuestas de la tarjeta antes de entregarse al destinatario correspondiente. El ataque indica a la terminal que la verificación del PIN no es necesaria y la verificación del titular de la tarjeta se realizará a través del dispositivo móvil.

Los investigadores de ETH Zurich propusieron correcciones de software al protocolo EMV para evitar el desvío del PIN y ataques fuera de línea, además del uso de autenticación dinámica de datos DDA (Demand deposit account, por sus siglas en inglés) para asegurar transacciones en línea de alto valor, y por último requerir del uso de criptogramas en línea en terminales PoS (terminales punto de venta), que permite que las transacciones fuera de línea se procesen en línea.

VISA reconoció la existencia de un fallo de seguridad en sus tarjetas de crédito que permitía a los delincuentes informáticos hacer pagos superiores al límite sin introducir el PIN, pero aseguró que no tiene constancia de que se haya producido algún fraude y defendió la seguridad del método de pago.

Referencias:
https://www.bankinfosecurity.com/emv-credit-card-flaw-allows-pin-bypass-a-14956
https://thehackernews.com/2020/09/emv-payment-card-pin-hacking.html
https://blog.ehcgroup.io/2020/09/07/11/18/49/9613/el-nuevo-error-de-omision-de-verificacion-de-pin-afecta-los-pagos-sin-contacto-de-visa/seguridad-informatica/vulenrabilidades/ehacking/
https://youtu.be/JyUsMLxCCt8
https://www.clarin.com/tecnologia/visa-desmiente-vulnerabilidad-tarjetas-contactless-seguras-_0_CrwgRFAV6.html