Las compañías de tarjetas de crédito en su mayor parte se han alejado de la “banda magnética y firma” a las tarjetas de crédito de chip y pin con tecnología conocida como EMV (Europa, MasterCard y Visa). Esta medida que provee a los consumidores una capa adicional de seguridad se está debilitando, de acuerdo a investigadores.

Nir Valtman y Patrick Watson, investigadores de NCR Corporation, hicieron una serie de transacciones maliciosas en una plática de Black Hat, demostrando cómo podían capturar datos y vulnerar la protección de chip y PIN.

El estándar intenta prevenir la duplicación y robo de tarjetas, pero no impide que los datos de la tarjeta sean utilizados o modificados por alguien más, afirmaron.

En la primera demostración, utilizaron un Raspberry Pi para capturar los paquetes de datos en tiempo real. A través de un compromiso pasivo de hombre en medio, Wireshark recogió dos interacciones de los datos introducidos en un teclado PIN que ejecuta el software que está libre. Ambos se negaron a especificar el nombre de la empresa, pero afirmaron que habían hablado con el proveedor y les pidió poner en práctica las conexiones TLS, pero le dijeron que no podían mientras corrían hardware antiguo.

Después de que los dos demostraron cómo el chip y PIN de las tarjetas tampoco son inmunes a cortes.

Los datos ilegibles pueden transformarse en bits de lectura, así como los datos de caducidad de código de servicio, datos discrecionales, etcétera, datos que podrían indicarle al atacante si es una tarjeta de chip.

“Puedes escribir los datos en una tarjeta de banda magnética si estás fuera de línea” dijo Watson. “El modo sin conexión puede ser atractivo para un atacante”, añadió Nir.

Los investigadores demostraron lo fácil que es utilizar una forma maliciosa de engañar al usuario reingresando su PIN o a una máquina de CVV (código de seguridad que protege la tarjeta de cualquier posible fraude).

“Los consumidores confían en los PIN pads y generalmente piensan que ellos ingresaron el PIN incorrecto,” dijo Nir.

De acuerdo con los investigadores, los atacantes podrían utilizar un teclado de PIN, mediante la inyección de un formulario, Malform.FRM y rápidamente cambiarlo al mensaje personalizado de “Bienvenido”.

Tanto Valtman y Watson abogan que los PIN pads tengan algoritmos fuertemente cifrados y que permitan la actualización de la lista blanca. Los puntos de venta PIN pads están certificados con PCI (Estándares de pago de la Industria de tarjetas de pago), pero PCI no requiere cifrado a través de una red de área local, que es la forma en que se puede realizar un ataque hombre en medio.

Los consumidores no deben volver a introducir su PIN, ya que indica que hay un teclado PIN y podría comprometer su contraseña, afirmó Valrman. También aconsejaron no realizar pagos mediante Apple Watch hasta que la tecnología sea más segura que EMV.