This post is also available in: Português Español
Al realizar compras con tarjetas de débito o crédito, tan comunes hoy en día, es normal escuchar al vendedor preguntar cuál bandera se va a utilizar. Y la gran mayoría de las respuestas se refieren a Visa y Mastercard, que dominan el mercado. Sin embargo, algunos ciberdelincuentes están consiguiendo mezclar las dos marcas para estafar.
Investigadores de ciberseguridad publicaron un artículo sobre un tipo de ataque que engaña al terminal de punto de venta para que realice compras con una tarjeta Mastercard sin contacto como si fuera una tarjeta Visa.
La investigación, publicada por un grupo de académicos de la ETH de Zúrich, se basa en un estudio publicado el septiembre pasado. En aquel momento, el informe investigaba un ataque de secuestro de PIN que permitía aprovechar una tarjeta de crédito Visa EMV robada o perdida para realizar compras sin conocer el PIN de la tarjeta. También podía engañar al terminal para que aceptara transacciones no auténticas con tarjetas fuera de línea. Las siglas EMV hacen referencia a una norma técnica para los pagos con tarjeta inteligente, que son los que llevan un chip integrado.
Marcas intercambiadas
La investigación también aprovecha las «serias» vulnerabilidades del protocolo EMV sin contacto, sólo que ahora el objetivo es la tarjeta Mastercard.
Esto es posible gracias a una aplicación de Android que realiza un ataque man-in-the-middle (MitM) sobre una arquitectura de ataque de retransmisión. Así, se permite a la app no sólo establecer comunicación entre el terminal y la tarjeta, sino también interceptar y manipular las comunicaciones NFC (o Wi-Fi) para introducir maliciosamente una incompatibilidad entre la marca de la tarjeta y la red de pago.
Quiere decir que, si la tarjeta emitida es una tarjeta Visa o Mastercard, la solicitud de autorización necesaria para realizar transacciones EMV se envía a la red respectiva. La máquina reconoce la marca mediante una combinación del número de cuenta principal (PAN, también conocido como número de tarjeta) y un identificador de aplicación (AID) que identifica de forma exclusiva el tipo de tarjeta: Mastercard Maestro o Visa Electron, por ejemplo.
A continuación, utiliza el AID para activar un núcleo específico de la transacción. Un núcleo EMV es un conjunto de funciones que proporciona toda la lógica de procesamiento y los datos necesarios para realizar la conexión EMV o una transacción sin contacto.
El ataque, bautizado como «card branding mix», se aprovecha de que estas identificaciones no se autentifican en el terminal de pago. Así, existe la posibilidad de engañar a la máquina para que active un kernel defectuoso. «A continuación, el estafador realiza simultáneamente una transacción Visa con el terminal y una transacción Mastercard con la tarjeta», describen los investigadores.
No es tan sencillo
Afortunadamente, el ataque requiere que los ciberdelincuentes cumplan una serie de requisitos. Por ejemplo, deben tener acceso a la tarjeta de la víctima, así como poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al destinatario correspondiente.
Pero los autores del estudio señalan que una segunda laguna en el protocolo EMV por aproximación podría permitir a un atacante crear todas las respuestas necesarias especificadas por el protocolo de Visa a partir de las obtenidas de una tarjeta no Visa, incluidas las pruebas criptográficas necesarias para que el emisor de la tarjeta autorice la transacción.
Utilizando la aplicación PoC para Android, los investigadores de la ETH Zurich dijeron que fueron capaces de eludir la verificación del PIN para las transacciones con tarjetas de crédito y débito Mastercard, emitidas por diferentes bancos, y una de las transacciones superó los 400 dólares. Es decir, incluso en cantidades elevadas es posible aplicar la estafa.
En respuesta, Mastercard dijo que está aplicando una serie de medidas, entre ellas obligar a las instituciones financieras a incluir el AID en los datos de autorización, permitiendo a los emisores de tarjetas comparar el AID con el PAN.
Además, la red de pagos ha implementado verificaciones de otros datos presentes en la solicitud de autorización que podrían utilizarse para identificar un ataque de este tipo, rechazando así una transacción fraudulenta desde el principio.
En cualquier caso, las conclusiones del equipo de la ETH de Zúrich son bastante relevantes. Incluso se presentarán en el 30º Simposio de Seguridad Usenix en agosto de este año. Esto pone de manifiesto la voracidad de los ciberdelincuentes para frustrar los sistemas de pago, en los que hay que invertir cada vez más para que sigan siendo seguros.
This post is also available in: Português Español
